«Лаборатория Касперского» подробно рассказала об уязвимости CVE-2023-23397 и провела комплексный анализ образцов первичной атаки.
Отмечается, что в марте текущего года корпорация Microsoft сообщила о критической уязвимости в Outlook, рейтинг которой составил 9,8 баллов по шкале CVSS.
Эксперты «Лаборатории Касперского» рассмотрели основные особенности этой уязвимости и исследовали способы ее эксплуатации хакерами до момента публикации информации об ошибке американским разработчиком. Уязвимость затрагивает все версии клиента Microsoft Outlook для операционной системы Windows, при этом она не затрагивает версии для MacOS, iOS и Android, а также web-версию и другие службы Microsoft 365.
Уязвимость CVE-2023-23397 классифицируется как критическая ошибка, предоставляющая возможность эскалации привилегий. Для ее эксплуатации киберпреступник отправляет потенциальной жертве сообщение, задачу или событие календаря в Outlook с расширенным свойством MAPI, который содержит UNC-путь к SMB-ресурсу на сервере злоумышленника. Такой подход позволяет хакерам получить хеш Net-NTLMv2, и для этого не требуется активного участия пользователя.
В итоге, данные хеша могут быть получены злоумышленниками в тот момент, когда пользователь видит уведомление, и даже до момента получения самого сообщения. При подключении к удаленному серверу по SMB, хеш Net-NTLMv2 пользователя отправляется в сообщении о согласовании. Похищенный хеш может быть использован злоумышленником для ретрансляции аутентификации на другие системы с поддержкой Net-NTLMv2 и извлечения пароля в оффлайн-режиме.
Важно отметить, что похищенный хеш принадлежит текущему пользователю Windows, запустившему приложение Outlook. Не имеет значения, кому именно адресовано вредоносное сообщение. Если пользователь не отклоняет уведомление или оповещение задач в Outlook, или его напоминание повторяется, то хеш Net-NTLMv2 может быть перехвачен злоумышленниками несколько раз.
Полная версия отчета представлена по ссылке.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
