Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Обновление от Microsoft лишь наполовину исправляет уязвимость в Outlook

Обновление от Microsoft лишь наполовину исправляет уязвимость в Outlook


12.04.2018

Обновление от Microsoft лишь наполовину исправляет уязвимость в Outlook

С выходом плановых ежемесячных обновлений безопасности 10 апреля текущего года Microsoft также выпустила патч для старой уязвимости в Outlook, известной еще с 2016 года. Тем не менее, просто установить обновление для полного исправления уязвимости недостаточно, и необходимо принять дополнительные меры.

Речь идет об уязвимости CVE-2018-0950 в сервисе Microsoft Outlook, обнаруженной Уиллом Дорманом (Will Dormann) из Координационного центра CERT. Как пояснил исследователь, проблема заключается в том, что Outlook обрабатывает объекты OLE в электронных письмах формата RTF автоматически, не запрашивая разрешения пользователей, как это происходит в случае с другими приложениями Office (Word, Excel и PowerPoint).

Автоматический рендеринг объектов OLE влечет за собой целый ряд проблем и является популярным вектором для распространения вредоносного ПО. По словам Дормана, путем эксплуатации уязвимости ему удалось похитить пароли пользователей, а точнее, хеши NTLM. Исследователь просто отправил пользователю Outlook электронное письмо с объектом OLE, отправляющим запросы на удаленный вредоносный сервер SMB. Атакуемая ОС Windows автоматически попыталась аутентифицироваться на вредоносном сервере, отправив хеш NTLM пользователя.

Атакующему достаточно лишь получить хеши, взломать их и использовать для проникновения в систему и другие части внутренней сети.

Дорман уведомил производителя об уязвимости в ноябре 2016 года, и спустя 18 месяцев Microsoft выпустила патч. Тем не менее, по словам исследователя, обновление не исправляет главную проблему, а лишь блокирует установку сервисом Outlook SMB-подключения при предпросмотре электронных писем в формате RTF. При этом Outlook по-прежнему не запрашивает у пользователя разрешение на рендеринг объектов OLE.

Как отметил Дорман, существуют и другие пути получения хешей NTLM, например, путем внедрения в электронные письма UNC-ссылок на серверы SMB. Такие ссылки Outlook автоматически делает кликабельными. Если жертва нажмет на подобную ссылку, атакующий сможет проэксплуатировать уязвимость в обход апрельского патча.

Для предотвращения возможной эксплуатации уязвимости рекомендуется заблокировать входящие и исходящие SMB-соединения в границах сети, отключить аутентификацию NTLM Single Sign-on (SSO) и использовать надежные пароли, которые хакеру будет сложно получить путем взлома хешей NTLM.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.