31.01.2024 | Нажал на ссылку - потерял пароль: NTLM-хэши стали новой добычей хакеров |
Устраненная уязвимость безопасности в Microsoft Outlook может быть использована злоумышленниками для доступа к хешированным паролям NT LAN Manager ( NTLM ) v2 при открытии специально созданного файла. NTLM v2 — это протокол, используемый для аутентификации пользователей на удалённых серверах. Хэш пароля пользователя NTLM v2 может быть ценным для злоумышленников, поскольку они могут либо запустить атаку методом перебора и получить пароль в виде открытого текста, либо использовать хэш для аутентификации напрямую. Проблема, отслеживаемая как CVE-2023-35636 (оценка CVSS: 6.5), была устранена Microsoft в рамках внеплановых обновлений безопасности в декабре 2023 года. Согласно заявлению Microsoft, недостаток работает следующим образом:
Иными словами, атакующему нужно убедить жертву перейти по ссылке, встроенной в фишинговое электронное письмо или отправленной через сообщение, а затем обманом заставить её открыть соответствующий файл. CVE-2023-35636 затрагивает функцию общего доступа к календарю в Outlook, в которой вредоносное электронное письмо создается путем вставки двух заголовков «Content-Class» и «x-sharing-config-url» со специально созданными значениями по порядку, чтобы раскрыть NTLM-хэш жертвы во время аутентификации. Письмо заставляет Outlook подключиться к серверу хакера и передать ему хэш NTLM v2 для аутентификации. Исследователь безопасности Varonis Долев Талер, которому приписывают обнаружение и сообщение об ошибке, сказал, что утечка хэшей NTLM может произойти при использовании анализатора производительности Windows (Windows Performance Analyzer, WPA) и проводника Windows. Однако эти два метода атаки остались без исправлений. Талер отметил, что WPA пытается аутентифицироваться с использованием NTLM v2 через открытую сеть. Обычно NTLM v2 следует использовать при попытке аутентификации во внутренних службах на основе IP-адреса. Однако, когда хэш NTLM v2 проходит через открытый Интернет, он уязвим для атак ретрансляции и автономных атак методом перебора. Данный инцидент служит напоминанием как для частных лиц, так и для организаций о необходимости оставаться бдительными, регулярно обновлять ПО и быть осторожными с подозрительными электронными письмами и файлами. Ситуация также подчеркивает необходимость наличия надежных протоколов безопасности и постоянного мониторинга систем для своевременного обнаружения и устранения подобных уязвимостей. |
Проверить безопасность сайта