Nowy atak na Outlooka

Luka została oznaczona jako CVE-2023-35636. Microsoft przyznał jej ocenę „ważną” i naprawił ją w jednej z wtorkowych aktualizacji w grudniu 2023 roku. Varonis poinformował, że pozostałym błędom przypisano „umiarkowaną” wagę i obecnie pozostają one nienaprawione.

NTLM v2 to protokół używany do uwierzytelniania użytkowników na zdalnych serwerach. Skrót NTLM v2 hasła użytkownika może być cenny dla złośliwych aktorów, ponieważ mogą oni albo przeprowadzić atak brute-force i uzyskać hasło w postaci zwykłego tekstu, albo użyć skrótu bezpośrednio do uwierzytelnienia. Na naszym portalu poświęciliśmy podobnym atakom wiele postów.

Varonis wykazał, że osoba atakująca może wykorzystać CVE-2023-35636, aby uzyskać skróty NTLM, wysyłając specjalnie spreparowaną wiadomość e-mail do docelowego użytkownika programu Outlook.

Luka wykorzystuje funkcję udostępniania kalendarza w Outlooku. Osoba atakująca musi wysłać wiadomość e-mail zawierającą dwa specjalnie spreparowane nagłówki: jeden informuje program, że wiadomość zawiera udostępnianą treść, a drugi kieruje sesję Outlooka ofiary do serwera kontrolowanego przez atakującego.

Jeśli ofiara kliknie opcję „Otwórz ten iCal” w złośliwej wiadomości, jej urządzenie spróbuje uzyskać plik konfiguracyjny z serwera atakującego, a skrót NTLM zostanie ujawniony podczas procesu uwierzytelniania.

Innym sposobem uzyskania skrótu NTLM v2 jest zastosowanie narzędzia Windows Performance Analyzer (WPA), często używanego przez programistów. Badacze firmy Varonis odkryli, że do przetwarzania łączy związanych z WPA wykorzystywana jest specjalna procedura obsługi URI, która jednak próbuje uwierzytelnić się przy użyciu protokołu NTLM v2 w otwartym Internecie, co ujawnia skrót NTLM.

Metoda ta polega na wysłaniu wiadomości e-mail zawierającej łącze mające na celu przekierowanie ofiary do złośliwego ładunku WPA w witrynie kontrolowanej przez osobę atakującą.

Pozostałe dwie metody ataku wykryte przez Varonis obejmują nadużycie Eksploratora plików systemu Windows. W przeciwieństwie do protokołu WPA, który występuje głównie na komputerach twórców oprogramowania, Eksplorator plików jest obecny na każdym komputerze z systemem Windows.

Istnieją dwie odmiany ataku na Eksploratora plików, obie polegające na wysłaniu przez osobę atakującą szkodliwego łącza do docelowego użytkownika za pośrednictwem poczty elektronicznej, mediów społecznościowych lub innych kanałów.

„Gdy ofiara kliknie łącze, osoba atakująca może uzyskać skrót, a następnie spróbować złamać hasło użytkownika w trybie offline” – wyjaśnił Varonis. „Po złamaniu skrótu i uzyskaniu hasła osoba atakująca może go użyć do zalogowania się do organizacji jako użytkownik. W przypadku tego ładunku program explorer.exe spróbuje wyszukać pliki z rozszerzeniem „.search-ms”.