Outlook'ta yeni bir güvenlik açığı ve NTLM v2 karma şifrelerine erişmenin üç yolu var. Erişim takvim işlevi aracılığıyla ve çift başlıklar aracılığıyla takvim girişi yoluyla yapılabilir. Uzmanlar güvenlik açığını keşfetti ve bu konuda uyarıyor.
Varonis Threat Labs, yeni Outlook güvenlik açığını (CVE-2023-35636) ve bundan yararlanmanın üç yeni yolunu keşfetti. Bu, Outlook, Windows Performans Analizcisi (WPA) ve Windows Dosya Gezgini'nden NTLM v2 karma parolalarına erişmenizi sağlar. Saldırganlar, bu şifrelere erişim sayesinde bir hesabın güvenliğini ihlal etmek ve erişim kazanmak için çevrimdışı kaba kuvvet saldırısı veya kimlik doğrulama aktarma saldırısı girişiminde bulunabilir.
Yamasız sistemler risk altında
Microsoft, bu güvenlik açıklarını ve mevcut istismarları Temmuz 2023'te açıkladı. O tarihten bu yana Microsoft, WPA ve Windows Dosya Gezgini'ndeki güvenlik açıklarını "orta önemde", Outlook 6.5'teki istismarı ise "önemli" (CVE-2023-35636) olarak sınıflandırdı. Microsoft daha sonra 12 Aralık 2023'te bu CVE için bir yama yayınladı. Yama uygulanmamış sistemler, yukarıdaki yöntemleri kullanarak karma şifrelenmiş şifreleri çalmaya çalışan tehdit aktörlerine karşı savunmasız kalır.
CVE-2023-35636'nın arkasında ne var?
CVE-2023-35636, Microsoft Outlook'taki takvim paylaşım özelliğine bir Outlook e-postasına iki başlık ekleme talimatı veren bir istismardır. Bunun amacı, bir NTLM v2 karmasını ele geçirme olanağı sunan belirli bir bilgisayarla iletişim kurmak için içerik paylaşmaktır. NTLM v2, Microsoft Windows tarafından kullanıcıların uzak sunucularda kimlik doğrulamasını yapmak için kullanılan bir şifreleme protokolüdür. NTLM v2, orijinal NTLM'nin daha güvenli bir sürümü olmasına rağmen v2, çevrimdışı kaba kuvvet ve kimlik doğrulama geçişi saldırılarına karşı hâlâ savunmasızdır.
Outlook ile NTLM v2 karmaları sızdırılıyor
Outlook, Microsoft 365 paketinin varsayılan e-posta ve takvim aracıdır ve dünya çapında milyonlarca kişi tarafından hem iş hem de kişisel amaçlarla kullanılmaktadır. Outlook'un özelliklerinden biri, takvimleri kullanıcılar arasında paylaşma yeteneğidir. Ancak Varonis Threat Labs'ın keşfettiği gibi bu özellik, bir kimlik doğrulama girişimini tetiklemek ve karma şifreyi yeniden yönlendirmek için e-postaya bazı başlıklar eklenerek kullanılabilir.
Saldırı senaryosu
Bu istismar, diğer Windows Dosya Gezgini istismarıyla aynı saldırı senaryosunu kullanıyor.
- Saldırgan yukarıda açıklanan istismarı kullanarak kötü amaçlı bir bağlantı oluşturur.
- Saldırı, kurbana kötü amaçlı bağlantıyı göndermek için e-posta kimlik avı, sahte web sitesi reklamı kullanabilir ve hatta bağlantıyı doğrudan sosyal medya aracılığıyla gönderebilir.
- Kurban bağlantıya tıkladığında, saldırgan karma değeri elde edebilir ve ardından kullanıcının şifresini çevrimdışı olarak kırmaya çalışabilir.
- Hash kırılıp şifre elde edildikten sonra, saldırgan bunu kuruluşta kullanıcı olarak oturum açmak için kullanabilir.
NTLM v2 saldırılarına karşı daha fazla koruma
NTLM v2 saldırılarına karşı korunmanın birkaç yolu vardır:
- SMB İmzalama – SMB imzalama, SMB trafiğini kurcalama ve ortadaki adam saldırılarına karşı korumaya yardımcı olan bir güvenlik özelliğidir. Tüm KOBİ mesajlarını dijital olarak imzalayarak çalışır. Bu, bir saldırganın bir SMB mesajını değiştirmeye çalışması durumunda alıcının değişikliği algılayıp mesajı reddedebileceği anlamına gelir.SMB imzalama, Windows Server 2022 ve sonraki sürümlerde varsayılan olarak etkindir ve Windows 11 Enterprise Edition'da (Insider Edition'dan itibaren) mevcuttur. ).Önizleme Derlemesi 25381).
- Windows 2'den (11) başlayarak giden NTLM v25951'yi engelleyin. Microsoft'ta bu var Giden NTLM kimlik doğrulamasını engelleme seçeneği eklendi.
- Mümkünse Kerberos kimlik doğrulamasını zorunlu kılın ve NTLM v2'yi hem ağ hem de uygulama düzeyinde engelleyin.
Varonis Hakkında 2005 yılında kuruluşundan bu yana Varonis, hem şirket içinde hem de bulutta depolanan kurumsal verileri güvenlik stratejisinin merkezine yerleştirerek çoğu BT güvenlik satıcısına farklı bir yaklaşım benimsemiştir: hassas dosyalar ve e-postalar, gizli müşteri, hasta ve hasta bilgileri Çalışan kayıtları, mali kayıtlar, stratejik ve ürün planları ve diğer fikri mülkiyet. Varonis Veri Güvenliği Platformu (DSP), verileri, hesap etkinliğini, telemetriyi ve kullanıcı davranışını analiz ederek içeriden gelen tehditleri ve siber saldırıları tespit eder, hassas, düzenlenmiş ve eskimiş verileri kilitleyerek veri güvenliği ihlallerini önler veya hafifletir ve sistemlerin güvenli durumunu korur verimli otomasyon yoluyla.,