आउटलुक: कैलेंडर प्रविष्टि पासवर्ड चुरा सकती है

आउटलुक में एक नई भेद्यता है और एनटीएलएम वी2 हैशेड पासवर्ड तक पहुंचने के तीन तरीके हैं। कैलेंडर फ़ंक्शन के माध्यम से और कैलेंडर प्रविष्टि के माध्यम से डबल हेडर तक पहुंच प्राप्त की जा सकती है। विशेषज्ञों ने इस भेद्यता का पता लगा लिया है और इसके बारे में चेतावनी दे रहे हैं।

वरोनिस थ्रेट लैब्स ने नई आउटलुक भेद्यता (सीवीई-2023-35636) और इसका फायदा उठाने के तीन नए तरीकों की खोज की। यह आपको आउटलुक, विंडोज परफॉर्मेंस एनालाइजर (डब्ल्यूपीए) और विंडोज फाइल एक्सप्लोरर से एनटीएलएम वी2 हैश पासवर्ड तक पहुंचने की अनुमति देता है। इन पासवर्डों तक पहुंच के साथ, हमलावर किसी खाते से समझौता करने और पहुंच हासिल करने के लिए ऑफ़लाइन क्रूर बल हमले या प्रमाणीकरण रिले हमले का प्रयास कर सकते हैं।

अपैच किए गए सिस्टम खतरे में हैं

Microsoft ने जुलाई 2023 में इन कमजोरियों और मौजूदा कारनामों का खुलासा किया। तब से, Microsoft ने WPA और Windows फ़ाइल एक्सप्लोरर कमजोरियों को "मध्यम गंभीरता" और आउटलुक 6.5 शोषण को "महत्वपूर्ण" (CVE-2023-35636) के रूप में वर्गीकृत किया है। माइक्रोसॉफ्ट ने बाद में 12 दिसंबर, 2023 को इस सीवीई के लिए एक पैच जारी किया। उपरोक्त विधियों का उपयोग करके हैशेड पासवर्ड चुराने का प्रयास करने वाले ख़तरनाक तत्वों के प्रति अनपैच्ड सिस्टम असुरक्षित रहते हैं।

CVE-2023-35636 के पीछे क्या है?

सीवीई-2023-35636 एक शोषण है जो माइक्रोसॉफ्ट आउटलुक में कैलेंडर साझाकरण सुविधा को आउटलुक ईमेल में दो हेडर जोड़ने का निर्देश देता है। इसका उद्देश्य किसी विशिष्ट कंप्यूटर से संपर्क करने के लिए सामग्री साझा करना है, जो एनटीएलएम वी2 हैश को इंटरसेप्ट करने की संभावना प्रदान करता है। NTLM v2 एक क्रिप्टोग्राफ़िक प्रोटोकॉल है जिसका उपयोग Microsoft Windows द्वारा दूरस्थ सर्वर पर उपयोगकर्ताओं को प्रमाणित करने के लिए किया जाता है। जबकि NTLM v2 मूल NTLM का अधिक सुरक्षित संस्करण है, v2 अभी भी ऑफ़लाइन क्रूर बल और प्रमाणीकरण रिले हमलों के प्रति असुरक्षित है।

आउटलुक के साथ एनटीएलएम वी2 हैश लीक हो रहा है

आउटलुक माइक्रोसॉफ्ट 365 सुइट के लिए डिफ़ॉल्ट ईमेल और कैलेंडर टूल है और इसका उपयोग दुनिया भर में लाखों लोगों द्वारा व्यावसायिक और व्यक्तिगत दोनों उद्देश्यों के लिए किया जाता है। आउटलुक की एक विशेषता उपयोगकर्ताओं के बीच कैलेंडर साझा करने की क्षमता है। हालाँकि, इस सुविधा का फायदा उठाया जा सकता है, जैसा कि वेरोनिस थ्रेट लैब्स ने खोजा था, प्रमाणीकरण प्रयास को ट्रिगर करने और हैश किए गए पासवर्ड को रीडायरेक्ट करने के लिए ईमेल में कुछ हेडर डालकर।

हमले का परिदृश्य

यह शोषण अन्य विंडोज़ फ़ाइल एक्सप्लोरर शोषण के समान आक्रमण परिदृश्य का उपयोग करता है।

• एक हमलावर ऊपर वर्णित शोषण का उपयोग करके एक दुर्भावनापूर्ण लिंक बनाता है।
• पीड़ित को दुर्भावनापूर्ण लिंक भेजने के लिए, कोई हमला ईमेल फ़िशिंग, नकली वेबसाइट विज्ञापन का उपयोग कर सकता है, या सीधे सोशल मीडिया के माध्यम से लिंक भेज सकता है।
• एक बार जब पीड़ित लिंक पर क्लिक करता है, तो हमलावर हैश प्राप्त कर सकता है और फिर उपयोगकर्ता के पासवर्ड को ऑफ़लाइन क्रैक करने का प्रयास कर सकता है।
• एक बार जब हैश क्रैक हो जाता है और पासवर्ड प्राप्त हो जाता है, तो एक हमलावर उपयोगकर्ता के रूप में संगठन में लॉग इन करने के लिए इसका उपयोग कर सकता है।

 

---

वरोनिस के बारे में

2005 में अपनी स्थापना के बाद से, Varonis ने अपनी सुरक्षा रणनीति के केंद्र में ऑन-प्रिमाइसेस और क्लाउड दोनों में संग्रहीत कॉर्पोरेट डेटा रखकर अधिकांश IT सुरक्षा विक्रेताओं के लिए एक अलग दृष्टिकोण लिया है: संवेदनशील फ़ाइलें और ईमेल, गोपनीय ग्राहक, रोगी और रोगी जानकारी कर्मचारी रिकॉर्ड, वित्तीय रिकॉर्ड, रणनीतिक और उत्पाद योजना, और अन्य बौद्धिक संपदा। Varonis Data Security Platform (DSP) डेटा, खाता गतिविधि, टेलीमेट्री और उपयोगकर्ता के व्यवहार का विश्लेषण करके अंदरूनी खतरों और साइबर हमलों का पता लगाता है, संवेदनशील, विनियमित और बासी डेटा को लॉक करके डेटा सुरक्षा उल्लंघनों को रोकता या कम करता है, और सिस्टम की सुरक्षित स्थिति बनाए रखता है। कुशल स्वचालन के माध्यम से।,

---