Il existe une nouvelle vulnérabilité dans Outlook et trois façons d'accéder aux mots de passe hachés NTLM v2. L'accès peut se faire via la fonction calendrier et les doubles en-têtes via l'entrée du calendrier. Les experts ont découvert la vulnérabilité et mettent en garde.
Varonis Threat Labs a découvert la nouvelle vulnérabilité Outlook (CVE-2023-35636) et trois nouvelles façons de l'exploiter. Cela vous permet d'accéder aux mots de passe de hachage NTLM v2 à partir d'Outlook, de Windows Performance Analyzer (WPA) et de l'Explorateur de fichiers Windows. En accédant à ces mots de passe, les attaquants peuvent tenter une attaque par force brute hors ligne ou une attaque par relais d'authentification pour compromettre un compte et y accéder.
Les systèmes non corrigés sont menacés
Microsoft a divulgué ces vulnérabilités et les exploits existants en juillet 2023. Depuis lors, Microsoft a classé les vulnérabilités WPA et Windows File Explorer comme « de gravité moyenne » et l’exploit Outlook 6.5 comme « important » (CVE-2023-35636). Microsoft a ensuite publié un correctif pour cette CVE le 12 décembre 2023. Les systèmes non corrigés restent vulnérables aux acteurs malveillants qui tentent de voler des mots de passe hachés en utilisant les méthodes ci-dessus.
Qu’est-ce qui se cache derrière CVE-2023-35636 ?
CVE-2023-35636 est un exploit qui demande à la fonctionnalité de partage de calendrier dans Microsoft Outlook d'ajouter deux en-têtes à un e-mail Outlook. Celui-ci est destiné à partager du contenu pour contacter un ordinateur spécifique, ce qui offre la possibilité d'intercepter un hachage NTLM v2. NTLM v2 est un protocole cryptographique utilisé par Microsoft Windows pour authentifier les utilisateurs sur des serveurs distants. Bien que NTLM v2 soit une version plus sécurisée du NTLM d'origine, la v2 est toujours vulnérable aux attaques par force brute hors ligne et aux attaques par relais d'authentification.
Fuite des hachages NTLM v2 avec Outlook
Outlook est l'outil de messagerie et de calendrier par défaut de la suite Microsoft 365 et est utilisé par des millions de personnes dans le monde à des fins professionnelles et personnelles. L'une des fonctionnalités d'Outlook est la possibilité de partager des calendriers entre utilisateurs. Cependant, cette fonctionnalité peut être exploitée, comme l'a découvert Varonis Threat Labs, en insérant des en-têtes dans un e-mail pour déclencher une tentative d'authentification et rediriger le mot de passe haché.
Scénario d'attaque
Cet exploit utilise le même scénario d'attaque que l'autre exploit de l'Explorateur de fichiers Windows.
- Un attaquant crée un lien malveillant en utilisant l'exploit décrit ci-dessus.
- Pour envoyer le lien malveillant à la victime, une attaque peut utiliser le phishing par courrier électronique, une fausse publicité sur un site Web ou même envoyer le lien directement via les réseaux sociaux.
- Une fois que la victime clique sur le lien, l'attaquant peut obtenir le hachage puis tenter de déchiffrer le mot de passe de l'utilisateur hors ligne.
- Une fois le hachage craqué et le mot de passe obtenu, un attaquant peut l'utiliser pour se connecter à l'organisation en tant qu'utilisateur.
Plus de protection contre les attaques NTLM v2
Il existe plusieurs façons de se protéger contre les attaques NTLM v2 :
- Signature SMB – La signature SMB est une fonctionnalité de sécurité qui permet de protéger le trafic SMB contre la falsification et les attaques de l'homme du milieu. Cela fonctionne en signant numériquement tous les messages SMB. Cela signifie que si un attaquant tente de modifier un message SMB, le destinataire peut détecter la modification et rejeter le message. La signature SMB est activée par défaut dans Windows Server 2022 et versions ultérieures et est disponible sur Windows 11 Enterprise Edition (à partir d'Insider Edition). ).Aperçu de la version 25381).
- Bloquez NTLM v2 sortant à partir de Windows 11 (25951). Microsoft a ça Option ajoutée pour bloquer l'authentification NTLM sortante.
- Si possible, appliquez l'authentification Kerberos et bloquez NTLM v2 au niveau du réseau et des applications.
À propos de Varonis Depuis sa création en 2005, Varonis a adopté une approche différente de la plupart des fournisseurs de sécurité informatique en plaçant les données d'entreprise stockées à la fois sur site et dans le cloud au cœur de sa stratégie de sécurité : fichiers et e-mails sensibles, informations confidentielles sur les clients, les patients et les patients. Les dossiers des employés, les dossiers financiers, les plans stratégiques et de produits et toute autre propriété intellectuelle. La plate-forme de sécurité des données Varonis (DSP) détecte les menaces internes et les cyberattaques en analysant les données, l'activité des comptes, la télémétrie et le comportement des utilisateurs, prévient ou atténue les atteintes à la sécurité des données en verrouillant les données sensibles, réglementées et obsolètes, et maintient un état sûr des systèmes. grâce à une automatisation efficace.,