Esiste una nuova vulnerabilità in Outlook e tre modi per accedere alle password con hash NTLM v2. L'accesso può essere effettuato tramite la funzione calendario e le doppie intestazioni tramite la voce del calendario. Gli esperti hanno scoperto la vulnerabilità e lanciano l'allarme.
Varonis Threat Labs ha scoperto la nuova vulnerabilità di Outlook (CVE-2023-35636) e tre nuovi modi per sfruttarla. Ciò consente di accedere alle password hash NTLM v2 da Outlook, Windows Performance Analyser (WPA) ed Esplora file di Windows. Con l'accesso a queste password, gli aggressori possono tentare un attacco di forza bruta offline o un attacco di inoltro di autenticazione per compromettere un account e ottenere l'accesso.
Sistemi senza patch a rischio
Microsoft ha rivelato queste vulnerabilità e gli exploit esistenti nel luglio 2023. Da allora Microsoft ha classificato le vulnerabilità WPA e Windows File Explorer come di “gravità media” e l’exploit Outlook 6.5 come “importante” (CVE-2023-35636). Microsoft ha successivamente rilasciato una patch per questo CVE il 12 dicembre 2023. I sistemi privi di patch rimangono vulnerabili agli autori delle minacce che tentano di rubare password con hash utilizzando i metodi sopra indicati.
Cosa c'è dietro CVE-2023-35636?
CVE-2023-35636 è un exploit che indica alla funzionalità di condivisione del calendario in Microsoft Outlook di aggiungere due intestazioni a un'e-mail di Outlook. Ha lo scopo di condividere contenuti per contattare un computer specifico, che offre la possibilità di intercettare un hash NTLM v2. NTLM v2 è un protocollo crittografico utilizzato da Microsoft Windows per autenticare gli utenti su server remoti. Sebbene NTLM v2 sia una versione più sicura dell'NTLM originale, v2 è ancora vulnerabile agli attacchi di forza bruta offline e di inoltro di autenticazione.
Perdita di hash NTLM v2 con Outlook
Outlook è lo strumento di posta elettronica e calendario predefinito per la suite Microsoft 365 ed è utilizzato da milioni di persone in tutto il mondo sia per scopi aziendali che personali. Una delle funzionalità di Outlook è la possibilità di condividere calendari tra utenti. Tuttavia, questa funzionalità può essere sfruttata, come scoperto da Varonis Threat Labs, inserendo alcune intestazioni in un'e-mail per attivare un tentativo di autenticazione e reindirizzare la password con hash.
Scenario di attacco
Questo exploit utilizza lo stesso scenario di attacco dell'altro exploit Esplora file di Windows.
- Un utente malintenzionato crea un collegamento dannoso utilizzando l'exploit sopra descritto.
- Per inviare alla vittima il collegamento dannoso, un attacco può utilizzare il phishing tramite e-mail, una pubblicità falsa sul sito Web o persino inviare il collegamento direttamente tramite i social media.
- Una volta che la vittima fa clic sul collegamento, l'aggressore può ottenere l'hash e quindi tentare di decifrare la password dell'utente offline.
- Una volta violato l'hash e ottenuta la password, un utente malintenzionato può utilizzarla per accedere all'organizzazione come utente.
Maggiore protezione contro gli attacchi NTLM v2
Esistono diversi modi per proteggersi dagli attacchi NTLM v2:
- Firma SMB: la firma SMB è una funzionalità di sicurezza che aiuta a proteggere il traffico SMB da manomissioni e attacchi man-in-the-middle. Funziona firmando digitalmente tutti i messaggi SMB. Ciò significa che se un utente malintenzionato tenta di modificare un messaggio SMB, il destinatario può rilevare la modifica e rifiutare il messaggio. La firma SMB è abilitata per impostazione predefinita in Windows Server 2022 e versioni successive ed è disponibile in Windows 11 Enterprise Edition (a partire da Insider Edition ). Anteprima della build 25381).
- Blocca NTLM v2 in uscita a partire da Windows 11 (25951). Microsoft ce l'ha Aggiunta opzione per bloccare l'autenticazione NTLM in uscita.
- Se possibile, applica l'autenticazione Kerberos e blocca NTLM v2 sia a livello di rete che di applicazione.
A proposito di Varoni Fin dalla sua fondazione nel 2005, Varonis ha adottato un approccio diverso nei confronti della maggior parte dei fornitori di sicurezza IT ponendo i dati aziendali archiviati sia on-premise che nel cloud al centro della sua strategia di sicurezza: file ed e-mail sensibili, informazioni riservate su clienti, pazienti e pazienti Documenti dei dipendenti, documenti finanziari, piani strategici e di prodotto e altra proprietà intellettuale. La Varonis Data Security Platform (DSP) rileva le minacce interne e gli attacchi informatici analizzando i dati, l'attività dell'account, la telemetria e il comportamento degli utenti, previene o mitiga le violazioni della sicurezza dei dati bloccando i dati sensibili, regolamentati e obsoleti e mantiene uno stato sicuro dei sistemi attraverso un'efficiente automazione.,