Outlook: 予定表のエントリがパスワードを盗む可能性がある

Outlook には新たな脆弱性が存在し、NTLM v2 でハッシュ化されたパスワードにアクセスする XNUMX つの方法があります。カレンダー機能やカレンダーエントリーによるダブルヘッダーからのアクセスが可能です。専門家がこの脆弱性を発見し、警告を発している。

Varonis Threat Labs は、Outlook の新しい脆弱性 (CVE-2023-35636) とそれを悪用する 2 つの新しい方法を発見しました。これにより、Outlook、Windows パフォーマンス アナライザー (WPA)、および Windows ファイル エクスプローラーから NTLM vXNUMX ハッシュ パスワードにアクセスできるようになります。これらのパスワードにアクセスすると、攻撃者はオフライン ブルート フォース攻撃または認証リレー攻撃を試みてアカウントを侵害し、アクセス権を取得する可能性があります。

パッチが適用されていないシステムは危険にさらされています

Microsoft は、2023 年 6.5 月にこれらの脆弱性と既存のエクスプロイトを公開しました。それ以来、Microsoft は WPA および Windows ファイル エクスプローラーの脆弱性を「重大度中」、Outlook 2023 のエクスプロイトを「重要」(CVE-35636-12) として分類しました。その後、Microsoft は 2023 年 XNUMX 月 XNUMX 日にこの CVE のパッチをリリースしました。パッチが適用されていないシステムは、上記の方法を使用してハッシュ化されたパスワードを盗もうとする攻撃者に対して脆弱なままです。

CVE-2023-35636 の背後にあるものは何ですか?

CVE-2023-35636 は、Microsoft Outlook のカレンダー共有機能に、Outlook 電子メールに 2 つのヘッダーを追加するよう指示するエクスプロイトです。これは、コンテンツを共有して特定のコンピュータに接続することを目的としており、NTLM v2 ハッシュを傍受する可能性があります。 NTLM v2 は、Microsoft Windows がリモート サーバーに対してユーザーを認証するために使用する暗号化プロトコルです。 NTLM v2 は、元の NTLM のより安全なバージョンですが、オフライン ブルート フォース攻撃や認証リレー攻撃に対して依然として脆弱です。

Outlook での NTLM v2 ハッシュの漏洩

Outlook は、Microsoft 365 スイートのデフォルトの電子メールおよびカレンダー ツールであり、世界中の何百万人もの人々がビジネスと個人の目的で使用しています。 Outlook の機能の XNUMX つは、ユーザー間で予定表を共有する機能です。ただし、Varonis Threat Labs が発見したように、この機能は電子メールにヘッダーを挿入して認証試行をトリガーし、ハッシュされたパスワードをリダイレクトすることによって悪用される可能性があります。

攻撃シナリオ

このエクスプロイトは、他の Windows ファイル エクスプローラーのエクスプロイトと同じ攻撃シナリオを使用します。

• 攻撃者は、上記のエクスプロイトを使用して悪意のあるリンクを作成します。
• 被害者に悪意のあるリンクを送信するために、攻撃では電子メール フィッシングや偽の Web サイト広告が使用されたり、ソーシャル メディア経由でリンクが直接送信されたりする場合もあります。
• 被害者がリンクをクリックすると、攻撃者はハッシュを取得し、ユーザーのパスワードをオフラインで解読しようとする可能性があります。
• ハッシュが解読され、パスワードが取得されると、攻撃者はそれを使用してユーザーとして組織にログインすることができます。

 

---

ヴァロニスについて

2005 年の創業以来、Varonis はオンプレミスとクラウドの両方に保存されている企業データをセキュリティ戦略の中心に置くことで、ほとんどの IT セキュリティ ベンダーとは異なるアプローチをとってきました。従業員記録、財務記録、戦略および製品計画、およびその他の知的財産。 Varonis Data Security Platform (DSP) は、データ、アカウント アクティビティ、テレメトリ、およびユーザーの行動を分析することで内部関係者の脅威とサイバー攻撃を検出し、機密データ、規制対象データ、および古いデータをロックダウンすることでデータ セキュリティ違反を防止または軽減し、システムの安全な状態を維持します。効率的な自動化を通じて、

---