आउटलुक में एक नई भेद्यता है और एनटीएलएम वी2 हैशेड पासवर्ड तक पहुंचने के तीन तरीके हैं। कैलेंडर फ़ंक्शन के माध्यम से और कैलेंडर प्रविष्टि के माध्यम से डबल हेडर तक पहुंच प्राप्त की जा सकती है। विशेषज्ञों ने इस भेद्यता का पता लगा लिया है और इसके बारे में चेतावनी दे रहे हैं।
वरोनिस थ्रेट लैब्स ने नई आउटलुक भेद्यता (सीवीई-2023-35636) और इसका फायदा उठाने के तीन नए तरीकों की खोज की। यह आपको आउटलुक, विंडोज परफॉर्मेंस एनालाइजर (डब्ल्यूपीए) और विंडोज फाइल एक्सप्लोरर से एनटीएलएम वी2 हैश पासवर्ड तक पहुंचने की अनुमति देता है। इन पासवर्डों तक पहुंच के साथ, हमलावर किसी खाते से समझौता करने और पहुंच हासिल करने के लिए ऑफ़लाइन क्रूर बल हमले या प्रमाणीकरण रिले हमले का प्रयास कर सकते हैं।
अपैच किए गए सिस्टम खतरे में हैं
Microsoft ने जुलाई 2023 में इन कमजोरियों और मौजूदा कारनामों का खुलासा किया। तब से, Microsoft ने WPA और Windows फ़ाइल एक्सप्लोरर कमजोरियों को "मध्यम गंभीरता" और आउटलुक 6.5 शोषण को "महत्वपूर्ण" (CVE-2023-35636) के रूप में वर्गीकृत किया है। माइक्रोसॉफ्ट ने बाद में 12 दिसंबर, 2023 को इस सीवीई के लिए एक पैच जारी किया। उपरोक्त विधियों का उपयोग करके हैशेड पासवर्ड चुराने का प्रयास करने वाले ख़तरनाक तत्वों के प्रति अनपैच्ड सिस्टम असुरक्षित रहते हैं।
CVE-2023-35636 के पीछे क्या है?
सीवीई-2023-35636 एक शोषण है जो माइक्रोसॉफ्ट आउटलुक में कैलेंडर साझाकरण सुविधा को आउटलुक ईमेल में दो हेडर जोड़ने का निर्देश देता है। इसका उद्देश्य किसी विशिष्ट कंप्यूटर से संपर्क करने के लिए सामग्री साझा करना है, जो एनटीएलएम वी2 हैश को इंटरसेप्ट करने की संभावना प्रदान करता है। NTLM v2 एक क्रिप्टोग्राफ़िक प्रोटोकॉल है जिसका उपयोग Microsoft Windows द्वारा दूरस्थ सर्वर पर उपयोगकर्ताओं को प्रमाणित करने के लिए किया जाता है। जबकि NTLM v2 मूल NTLM का अधिक सुरक्षित संस्करण है, v2 अभी भी ऑफ़लाइन क्रूर बल और प्रमाणीकरण रिले हमलों के प्रति असुरक्षित है।
आउटलुक के साथ एनटीएलएम वी2 हैश लीक हो रहा है
आउटलुक माइक्रोसॉफ्ट 365 सुइट के लिए डिफ़ॉल्ट ईमेल और कैलेंडर टूल है और इसका उपयोग दुनिया भर में लाखों लोगों द्वारा व्यावसायिक और व्यक्तिगत दोनों उद्देश्यों के लिए किया जाता है। आउटलुक की एक विशेषता उपयोगकर्ताओं के बीच कैलेंडर साझा करने की क्षमता है। हालाँकि, इस सुविधा का फायदा उठाया जा सकता है, जैसा कि वेरोनिस थ्रेट लैब्स ने खोजा था, प्रमाणीकरण प्रयास को ट्रिगर करने और हैश किए गए पासवर्ड को रीडायरेक्ट करने के लिए ईमेल में कुछ हेडर डालकर।
हमले का परिदृश्य
यह शोषण अन्य विंडोज़ फ़ाइल एक्सप्लोरर शोषण के समान आक्रमण परिदृश्य का उपयोग करता है।
- एक हमलावर ऊपर वर्णित शोषण का उपयोग करके एक दुर्भावनापूर्ण लिंक बनाता है।
- पीड़ित को दुर्भावनापूर्ण लिंक भेजने के लिए, कोई हमला ईमेल फ़िशिंग, नकली वेबसाइट विज्ञापन का उपयोग कर सकता है, या सीधे सोशल मीडिया के माध्यम से लिंक भेज सकता है।
- एक बार जब पीड़ित लिंक पर क्लिक करता है, तो हमलावर हैश प्राप्त कर सकता है और फिर उपयोगकर्ता के पासवर्ड को ऑफ़लाइन क्रैक करने का प्रयास कर सकता है।
- एक बार जब हैश क्रैक हो जाता है और पासवर्ड प्राप्त हो जाता है, तो एक हमलावर उपयोगकर्ता के रूप में संगठन में लॉग इन करने के लिए इसका उपयोग कर सकता है।
NTLM v2 हमलों के विरुद्ध अधिक सुरक्षा
NTLM v2 हमलों से बचाव के कई तरीके हैं:
- एसएमबी साइनिंग - एसएमबी साइनिंग एक सुरक्षा सुविधा है जो एसएमबी ट्रैफिक को छेड़छाड़ और बीच-बीच में होने वाले हमलों से बचाने में मदद करती है। यह सभी एसएमबी संदेशों पर डिजिटल हस्ताक्षर करके काम करता है। इसका मतलब यह है कि यदि कोई हमलावर एसएमबी संदेश को संशोधित करने का प्रयास करता है, तो प्राप्तकर्ता परिवर्तन का पता लगा सकता है और संदेश को अस्वीकार कर सकता है। एसएमबी हस्ताक्षर विंडोज सर्वर 2022 और बाद में डिफ़ॉल्ट रूप से सक्षम है, और विंडोज 11 एंटरप्राइज़ संस्करण (इनसाइडर संस्करण से शुरू) पर उपलब्ध है ) पूर्वावलोकन बिल्ड 25381)।
- विंडोज़ 2 (11) से शुरू करके आउटबाउंड एनटीएलएम वी25951 को ब्लॉक करें। माइक्रोसॉफ्ट के पास वह है आउटबाउंड एनटीएलएम प्रमाणीकरण को ब्लॉक करने का विकल्प जोड़ा गया.
- यदि संभव हो, तो केर्बरोस प्रमाणीकरण लागू करें और नेटवर्क और एप्लिकेशन दोनों स्तरों पर NTLM v2 को ब्लॉक करें।
वरोनिस के बारे में 2005 में अपनी स्थापना के बाद से, Varonis ने अपनी सुरक्षा रणनीति के केंद्र में ऑन-प्रिमाइसेस और क्लाउड दोनों में संग्रहीत कॉर्पोरेट डेटा रखकर अधिकांश IT सुरक्षा विक्रेताओं के लिए एक अलग दृष्टिकोण लिया है: संवेदनशील फ़ाइलें और ईमेल, गोपनीय ग्राहक, रोगी और रोगी जानकारी कर्मचारी रिकॉर्ड, वित्तीय रिकॉर्ड, रणनीतिक और उत्पाद योजना, और अन्य बौद्धिक संपदा। Varonis Data Security Platform (DSP) डेटा, खाता गतिविधि, टेलीमेट्री और उपयोगकर्ता के व्यवहार का विश्लेषण करके अंदरूनी खतरों और साइबर हमलों का पता लगाता है, संवेदनशील, विनियमित और बासी डेटा को लॉक करके डेटा सुरक्षा उल्लंघनों को रोकता या कम करता है, और सिस्टम की सुरक्षित स्थिति बनाए रखता है। कुशल स्वचालन के माध्यम से।,