Производитель выпустил патч для уязвимости в Outlook, известной еще с 2016 года, однако он исправляет проблему не полностью.
С выходом плановых ежемесячных обновлений безопасности 10 апреля текущего года Microsoft также выпустила патч для старой уязвимости в Outlook, известной еще с 2016 года. Тем не менее, просто установить обновление для полного исправления уязвимости недостаточно, и необходимо принять дополнительные меры.
Речь идет об уязвимости CVE-2018-0950 в сервисе Microsoft Outlook, обнаруженной Уиллом Дорманом (Will Dormann) из Координационного центра CERT. Как пояснил исследователь, проблема заключается в том, что Outlook обрабатывает объекты OLE в электронных письмах формата RTF автоматически, не запрашивая разрешения пользователей, как это происходит в случае с другими приложениями Office (Word, Excel и PowerPoint).
Автоматический рендеринг объектов OLE влечет за собой целый ряд проблем и является популярным вектором для распространения вредоносного ПО. По словам Дормана, путем эксплуатации уязвимости ему удалось похитить пароли пользователей, а точнее, хеши NTLM. Исследователь просто отправил пользователю Outlook электронное письмо с объектом OLE, отправляющим запросы на удаленный вредоносный сервер SMB. Атакуемая ОС Windows автоматически попыталась аутентифицироваться на вредоносном сервере, отправив хеш NTLM пользователя.
Атакующему достаточно лишь получить хеши, взломать их и использовать для проникновения в систему и другие части внутренней сети.
Дорман уведомил производителя об уязвимости в ноябре 2016 года, и спустя 18 месяцев Microsoft выпустила патч. Тем не менее, по словам исследователя, обновление не исправляет главную проблему, а лишь блокирует установку сервисом Outlook SMB-подключения при предпросмотре электронных писем в формате RTF. При этом Outlook по-прежнему не запрашивает у пользователя разрешение на рендеринг объектов OLE.
Как отметил Дорман, существуют и другие пути получения хешей NTLM, например, путем внедрения в электронные письма UNC-ссылок на серверы SMB. Такие ссылки Outlook автоматически делает кликабельными. Если жертва нажмет на подобную ссылку, атакующий сможет проэксплуатировать уязвимость в обход апрельского патча.
Для предотвращения возможной эксплуатации уязвимости рекомендуется заблокировать входящие и исходящие SMB-соединения в границах сети, отключить аутентификацию NTLM Single Sign-on (SSO) и использовать надежные пароли, которые хакеру будет сложно получить путем взлома хешей NTLM.
Сбалансированная диета для серого вещества