Існує нова вразливість в Outlook і три способи доступу до хешованих паролів NTLM v2. Доступ можна здійснити через функцію календаря та подвійні заголовки через запис календаря. Фахівці виявили вразливість і попереджають про неї.
Varonis Threat Labs виявила нову вразливість Outlook (CVE-2023-35636) і три нові способи її використання. Це дає вам доступ до хеш-паролів NTLM v2 з Outlook, Windows Performance Analyzer (WPA) і Windows File Explorer. Маючи доступ до цих паролів, зловмисники можуть спробувати офлайн-атаку грубої сили або атаку реле автентифікації, щоб скомпрометувати обліковий запис і отримати доступ.
Невиправлені системи під загрозою
Microsoft розкрила ці вразливості та існуючі експлойти в липні 2023 року. Відтоді Microsoft класифікувала уразливості WPA та Windows File Explorer як «середнього ступеня серйозності», а експлойт Outlook 6.5 як «важливий» (CVE-2023-35636). Згодом Microsoft випустила патч для цього CVE 12 грудня 2023 року. Системи без виправлень залишаються вразливими до зловмисників, які намагаються викрасти хешовані паролі за допомогою описаних вище методів.
Що стоїть за CVE-2023-35636?
CVE-2023-35636 — це експлойт, який наказує функції спільного доступу до календаря в Microsoft Outlook додати два заголовки до електронного листа Outlook. Це призначено для обміну вмістом для зв’язку з певним комп’ютером, який пропонує можливість перехоплення хешу NTLM v2. NTLM v2 — це криптографічний протокол, який використовується Microsoft Windows для автентифікації користувачів на віддалених серверах. Незважаючи на те, що NTLM v2 є більш безпечною версією оригінального NTLM, v2 все ще вразливий до офлайнових атак грубої сили та релейних атак автентифікації.
Витік хешів NTLM v2 з Outlook
Outlook — це інструмент електронної пошти та календаря за замовчуванням для пакета Microsoft 365, який використовується мільйонами людей у всьому світі як для бізнесу, так і для особистих цілей. Однією з особливостей Outlook є можливість ділитися календарями між користувачами. Однак цією функцією можна скористатися, як виявили Varonis Threat Labs, вставивши деякі заголовки в електронний лист, щоб ініціювати спробу автентифікації та перенаправити хешований пароль.
Сценарій нападу
Цей експлойт використовує той самий сценарій атаки, що й інший експлойт Windows File Explorer.
- Зловмисник створює шкідливе посилання, використовуючи описаний вище експлойт.
- Щоб надіслати жертві зловмисне посилання, атака може використовувати фішинг електронної пошти, підроблену рекламу на веб-сайті або навіть надіслати посилання безпосередньо через соціальні мережі.
- Як тільки жертва клацне посилання, зловмисник може отримати хеш і спробувати зламати пароль користувача в автономному режимі.
- Після того, як хеш зламано та отримано пароль, зловмисник може використовувати його для входу в організацію як користувач.
Більше захисту від атак NTLM v2
Існує кілька способів захисту від атак NTLM v2:
- Підпис SMB – підпис SMB – це функція безпеки, яка допомагає захистити трафік SMB від підробки та атак типу «людина посередині». Він працює шляхом цифрового підпису всіх повідомлень SMB. Це означає, що якщо зловмисник намагається змінити повідомлення SMB, одержувач може виявити зміни та відхилити повідомлення.Підписання SMB увімкнено за замовчуванням у Windows Server 2022 і новіших версіях і доступно в Windows 11 Enterprise Edition (починаючи з Insider Edition). Попередній перегляд збірки 25381).
- Блокувати вихідну пошту NTLM v2, починаючи з Windows 11 (25951). Microsoft це має Додано параметр блокування вихідної автентифікації NTLM.
- Якщо можливо, застосуйте автентифікацію Kerberos і заблокуйте NTLM v2 на рівні мережі та програми.
Про Вароніс З моменту свого заснування в 2005 році компанія Varonis застосувала інший підхід до більшості постачальників ІТ-безпеки, помістивши корпоративні дані, що зберігаються як локально, так і в хмарі, в центрі своєї стратегії безпеки: конфіденційні файли та електронні листи, конфіденційну інформацію про клієнтів, пацієнтів і пацієнтів. Записи співробітників, фінансові записи, стратегічні плани та плани продукту та інша інтелектуальна власність. Платформа безпеки даних Varonis (DSP) виявляє інсайдерські загрози та кібератаки, аналізуючи дані, активність облікового запису, телеметрію та поведінку користувачів, запобігає або пом’якшує порушення безпеки даних шляхом блокування конфіденційних, регламентованих і застарілих даних, а також підтримує безпечний стан систем завдяки ефективній автоматизації.,