Новые уязвимости в Outlook создают риск подбора паролей пользователей

Компания Varonis, специализирующаяся на кибербезопасности, обнаружила новую уязвимость в продуктах Microsoft, а также несколько методов атаки, позволяющих злоумышленникам получить хэши паролей пользователей.

Уязвимость под идентификатором CVE-2023-35636 затрагивает функцию общего доступа к календарю в Outlook и имеет оценку «важная» (6.5 баллов по шкале CVSS). С её помощью атакующий может отправить пользователю специально сформированное письмо, которое заставит Outlook подключиться к контролируемому хакером серверу и передать ему хэш NTLM v2 для аутентификации.

NTLM v2 — это протокол, используемый для аутентификации пользователей на удалённых серверах. Хэш пароля пользователя NTLM v2 может быть ценным для злоумышленников, поскольку они могут либо запустить атаку методом перебора и получить пароль в виде открытого текста, либо использовать хэш для аутентификации напрямую.

Microsoft устранила CVE-2023-35636 в рамках внеплановых обновлений безопасности в декабре 2023 года, однако некоторые методы атаки, с помощью которых злоумышленники тоже могут заполучить хэш аутентификации, всё ещё работают.

Так, один из выявленных методов использует Windows-утилиту «Анализатор производительности» (Windows Performance Analyzer, WPA), которая часто используется разработчиками. Исследователи обнаружили, что для обработки ссылок, связанных с WPA, используется специальный идентификатор URI, который пытается пройти аутентификацию с использованием NTLM v2 через Интернет, что и раскрывает хэш NTLM.

Этот метод также включает отправку электронного письма, содержащего ссылку, предназначенную для перенаправления жертвы на вредоносную полезную нагрузку WPA на сайте, контролируемом злоумышленником.

Ещё два метода эксплуатируют стандартный файловый проводник Windows. В отличие от WPA, который не является компонентом системы по умолчанию и в основном используется только разработчиками программного обеспечения, файловый проводник глубоко интегрирован в Windows и ежедневно используется подавляющим большинством пользователей. Оба варианта атаки предполагают отправку злоумышленником вредоносной ссылки целевому пользователю по электронной почте, социальным сетям или другим каналам.

«Как только жертва нажимает на ссылку, злоумышленник может получить хэш, а затем попытаться взломать пароль пользователя в автономном режиме», — объяснили специалисты Varonis. «После взлома хэша и получения пароля злоумышленник может использовать его для входа в организацию в качестве пользователя.

Как уже было отмечено выше, CVE-2023-35636 была исправлена в декабре, но остальные проблемы пока остаются актуальными. Компаниям рекомендуется установить последние обновления безопасности и предпринять дополнительные меры защиты от фишинговых атак, чтобы не стать жертвой злоумышленников.