Outlook: entrada no calendário pode roubar senha

25. Janeiro 2024
| Sem comentários
Outlook: entrada no calendário pode roubar senha -AI

Compartilhar postagem

Há uma nova vulnerabilidade no Outlook e três maneiras de acessar senhas com hash NTLM v2. O acesso pode ser feito através da função de calendário e cabeçalhos duplos via entrada de calendário. Especialistas descobriram a vulnerabilidade e estão alertando sobre ela.

O Varonis Threat Labs descobriu a nova vulnerabilidade do Outlook (CVE-2023-35636) e três novas maneiras de explorá-la. Isso permite que você acesse as senhas hash NTLM v2 do Outlook, do Windows Performance Analyzer (WPA) e do Windows File Explorer. Com acesso a essas senhas, os invasores podem tentar um ataque de força bruta offline ou um ataque de retransmissão de autenticação para comprometer uma conta e obter acesso.

Sistemas não corrigidos em risco

A Microsoft divulgou essas vulnerabilidades e explorações existentes em julho de 2023. Desde então, a Microsoft classificou as vulnerabilidades WPA e Windows File Explorer como “gravidade média” e a exploração do Outlook 6.5 como “importante” (CVE-2023-35636). Posteriormente, a Microsoft lançou um patch para este CVE em 12 de dezembro de 2023. Os sistemas não corrigidos permanecem vulneráveis ​​a agentes de ameaças que tentam roubar senhas com hash usando os métodos acima.

O que está por trás do CVE-2023-35636?

CVE-2023-35636 é uma exploração que instrui o recurso de compartilhamento de calendário do Microsoft Outlook a adicionar dois cabeçalhos a um e-mail do Outlook. O objetivo é compartilhar conteúdo para entrar em contato com um computador específico, o que oferece a possibilidade de interceptar um hash NTLM v2. NTLM v2 é um protocolo criptográfico usado pelo Microsoft Windows para autenticar usuários em servidores remotos. Embora o NTLM v2 seja uma versão mais segura do NTLM original, o v2 ainda é vulnerável a ataques offline de força bruta e de retransmissão de autenticação.

Vazamento de hashes NTLM v2 com Outlook

O Outlook é a ferramenta padrão de e-mail e calendário do pacote Microsoft 365 e é usado por milhões de pessoas em todo o mundo para fins comerciais e pessoais. Um dos recursos do Outlook é a capacidade de compartilhar calendários entre usuários. No entanto, esse recurso pode ser explorado, como descobriu o Varonis Threat Labs, inserindo alguns cabeçalhos em um e-mail para acionar uma tentativa de autenticação e redirecionar a senha com hash.

Cenário de ataque

Esta exploração usa o mesmo cenário de ataque que a outra exploração do Windows File Explorer.

  • Um invasor cria um link malicioso usando a exploração descrita acima.
  • Para enviar o link malicioso à vítima, um ataque pode usar phishing por e-mail, um anúncio falso em um site ou até mesmo enviar o link diretamente pelas redes sociais.
  • Depois que a vítima clica no link, o invasor pode obter o hash e tentar quebrar a senha do usuário offline.
  • Depois que o hash for quebrado e a senha obtida, um invasor poderá usá-la para fazer login na organização como usuário.

Mais proteção contra ataques NTLM v2

Existem várias maneiras de se proteger contra ataques NTLM v2:

  • Assinatura SMB – A assinatura SMB é um recurso de segurança que ajuda a proteger o tráfego SMB contra adulteração e ataques man-in-the-middle. Funciona assinando digitalmente todas as mensagens SMB. Isso significa que se um invasor tentar modificar uma mensagem SMB, o destinatário poderá detectar a alteração e rejeitar a mensagem.A assinatura SMB está habilitada por padrão no Windows Server 2022 e posterior e está disponível no Windows 11 Enterprise Edition (começando com Insider Edition ). Pré-visualização da versão 25381).
  • Bloqueie o NTLM v2 de saída começando com Windows 11 (25951). A Microsoft tem isso Adicionada opção para bloquear autenticação NTLM de saída.
  • Se possível, imponha a autenticação Kerberos e bloqueie o NTLM v2 nos níveis de rede e de aplicativo.
Mais em Varonis.com

 

Sobre Varonis

Desde a sua fundação em 2005, a Varonis adotou uma abordagem diferente para a maioria dos fornecedores de segurança de TI, colocando os dados corporativos armazenados no local e na nuvem no centro de sua estratégia de segurança: arquivos e e-mails confidenciais, clientes confidenciais, informações de pacientes e pacientes Registros de funcionários, registros financeiros, planos estratégicos e de produtos e outras propriedades intelectuais. A Varonis Data Security Platform (DSP) detecta ameaças internas e ataques cibernéticos analisando dados, atividade de conta, telemetria e comportamento do usuário, evita ou atenua violações de segurança de dados bloqueando dados confidenciais, regulamentados e obsoletos e mantém um estado seguro dos sistemas através de uma automação eficiente.,

 

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Impressoras como um risco à segurança

As frotas de impressoras empresariais estão a tornar-se cada vez mais num ponto cego e representam enormes problemas para a sua eficiência e segurança. ➡ Leia mais

A Lei AI e suas consequências para a proteção de dados

Com o AI Act, a primeira lei para IA foi aprovada e dá aos fabricantes de aplicações de IA entre seis meses e ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Conjunto de produtos DSPM para Zero Trust Data Security

O gerenciamento da postura de segurança de dados – abreviadamente DSPM – é crucial para que as empresas garantam a resiliência cibernética contra a multidão ➡ Leia mais

Criptografia de dados: Mais segurança em plataformas em nuvem

As plataformas online são frequentemente alvo de ataques cibernéticos, como o Trello recentemente. 5 dicas para garantir criptografia de dados mais eficaz na nuvem ➡ Leia mais

mensagens de relações públicas
, , , , ,