Устраненная уязвимость безопасности в Microsoft Outlook может быть использована злоумышленниками для доступа к хешированным паролям NT LAN Manager (NTLM) v2* при открытии специально созданного файла.
Главная задача атакующего – убедить жертву перейти по ссылке, встроенной в фишинговое электронное письмо или отправленной через сообщение, а затем обманом заставить пользователя открыть определенный файл.
CVE-2023-35636 затрагивает функцию общего доступа к календарю в Outlook, в которой вредоносное электронное письмо создается путем вставки двух заголовков «Content-Class» и «x-sharing-config-url» со специально созданными значениями по порядку, чтобы раскрыть NTLM-хэш жертвы во время аутентификации. Письмо заставляет Outlook подключиться к серверу хакера и передать ему хэш NTLM v2 для аутентификации.
«Эксплуатация уязвимостей, для которых выпущена CVE и даже патч от вендора – это, конечно, камень в огород специалистов по ИБ, которые обслуживают эту информационную систему. С другой стороны – в этом конкретном случае может показаться, что утечка хэша сложного пароля не такая уж проблема, потому что восстановить пароль из хэша проблематично. Однако, есть ряд сценариев, где можно использовать сам хэш для аутентификации и это уже куда более серьезная проблема. Чтобы таких ситуаций не возникало, необходимо не только иметь доступ к свежей базе уязвимостей и автоматизированное средство их обнаружения, например, Efros Config Inspector, но и вовремя устанавливать патчи от производителей ПО», – сказал руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.
*NTLM v2 — это протокол, используемый для аутентификации пользователей на удалённых серверах. Хэш пароля пользователя NTLM v2 может быть ценным для злоумышленников, поскольку они могут либо запустить атаку методом перебора и получить пароль в виде открытого текста, либо использовать хэш для аутентификации напрямую.