Há uma nova vulnerabilidade no Outlook e três maneiras de acessar senhas com hash NTLM v2. O acesso pode ser feito através da função de calendário e cabeçalhos duplos via entrada de calendário. Especialistas descobriram a vulnerabilidade e estão alertando sobre ela.
O Varonis Threat Labs descobriu a nova vulnerabilidade do Outlook (CVE-2023-35636) e três novas maneiras de explorá-la. Isso permite que você acesse as senhas hash NTLM v2 do Outlook, do Windows Performance Analyzer (WPA) e do Windows File Explorer. Com acesso a essas senhas, os invasores podem tentar um ataque de força bruta offline ou um ataque de retransmissão de autenticação para comprometer uma conta e obter acesso.
Sistemas não corrigidos em risco
A Microsoft divulgou essas vulnerabilidades e explorações existentes em julho de 2023. Desde então, a Microsoft classificou as vulnerabilidades WPA e Windows File Explorer como “gravidade média” e a exploração do Outlook 6.5 como “importante” (CVE-2023-35636). Posteriormente, a Microsoft lançou um patch para este CVE em 12 de dezembro de 2023. Os sistemas não corrigidos permanecem vulneráveis a agentes de ameaças que tentam roubar senhas com hash usando os métodos acima.
O que está por trás do CVE-2023-35636?
CVE-2023-35636 é uma exploração que instrui o recurso de compartilhamento de calendário do Microsoft Outlook a adicionar dois cabeçalhos a um e-mail do Outlook. O objetivo é compartilhar conteúdo para entrar em contato com um computador específico, o que oferece a possibilidade de interceptar um hash NTLM v2. NTLM v2 é um protocolo criptográfico usado pelo Microsoft Windows para autenticar usuários em servidores remotos. Embora o NTLM v2 seja uma versão mais segura do NTLM original, o v2 ainda é vulnerável a ataques offline de força bruta e de retransmissão de autenticação.
Vazamento de hashes NTLM v2 com Outlook
O Outlook é a ferramenta padrão de e-mail e calendário do pacote Microsoft 365 e é usado por milhões de pessoas em todo o mundo para fins comerciais e pessoais. Um dos recursos do Outlook é a capacidade de compartilhar calendários entre usuários. No entanto, esse recurso pode ser explorado, como descobriu o Varonis Threat Labs, inserindo alguns cabeçalhos em um e-mail para acionar uma tentativa de autenticação e redirecionar a senha com hash.
Cenário de ataque
Esta exploração usa o mesmo cenário de ataque que a outra exploração do Windows File Explorer.
- Um invasor cria um link malicioso usando a exploração descrita acima.
- Para enviar o link malicioso à vítima, um ataque pode usar phishing por e-mail, um anúncio falso em um site ou até mesmo enviar o link diretamente pelas redes sociais.
- Depois que a vítima clica no link, o invasor pode obter o hash e tentar quebrar a senha do usuário offline.
- Depois que o hash for quebrado e a senha obtida, um invasor poderá usá-la para fazer login na organização como usuário.
Mais proteção contra ataques NTLM v2
Existem várias maneiras de se proteger contra ataques NTLM v2:
- Assinatura SMB – A assinatura SMB é um recurso de segurança que ajuda a proteger o tráfego SMB contra adulteração e ataques man-in-the-middle. Funciona assinando digitalmente todas as mensagens SMB. Isso significa que se um invasor tentar modificar uma mensagem SMB, o destinatário poderá detectar a alteração e rejeitar a mensagem.A assinatura SMB está habilitada por padrão no Windows Server 2022 e posterior e está disponível no Windows 11 Enterprise Edition (começando com Insider Edition ). Pré-visualização da versão 25381).
- Bloqueie o NTLM v2 de saída começando com Windows 11 (25951). A Microsoft tem isso Adicionada opção para bloquear autenticação NTLM de saída.
- Se possível, imponha a autenticação Kerberos e bloqueie o NTLM v2 nos níveis de rede e de aplicativo.
Sobre Varonis Desde a sua fundação em 2005, a Varonis adotou uma abordagem diferente para a maioria dos fornecedores de segurança de TI, colocando os dados corporativos armazenados no local e na nuvem no centro de sua estratégia de segurança: arquivos e e-mails confidenciais, clientes confidenciais, informações de pacientes e pacientes Registros de funcionários, registros financeiros, planos estratégicos e de produtos e outras propriedades intelectuais. A Varonis Data Security Platform (DSP) detecta ameaças internas e ataques cibernéticos analisando dados, atividade de conta, telemetria e comportamento do usuário, evita ou atenua violações de segurança de dados bloqueando dados confidenciais, regulamentados e obsoletos e mantém um estado seguro dos sistemas através de uma automação eficiente.,