Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Эксперты нашли лазейку в исправлении критической уязвимости Microsoft Outlook

12/05/23

1652872019_996_The-new-Outlook-Microsoft-starts-open-beta-–-heres-what

Исследователи безопасности Akamai заявили, что небольшая модификация атаки на нулевой день Microsoft Exchange может обойти исправление уязвимости, которое Microsoft представила в марте.

9 мая Microsoft исправила недостаток CVE-2023-29324 , оценив ошибку как «важную», но не «критическую», напоминает Securitylab. Исследователи из Akamai, которые обнаружили ошибку, говорят, что она заслуживает оценки «критическая».

Исходная ошибка, CVE-2023-23397 , представляет собой уязвимость повышения привилегий Microsoft Outlook, которая позволяет удаленному злоумышленнику отправлять специально созданное электронное письмо, в котором происходит утечка хешированного пароля учетной записи Windows целевого пользователя, что позволяет киберпреступнику аутентифицироваться в других системах.

Исходная уязвимость срабатывала, когда злоумышленник отправлял электронное письмо, содержащее напоминание с настраиваемым звуком уведомления. Эксплойт работал, указывая пользовательский звук в качестве UNC-пути, в результате чего Outlook извлекал звуковой файл с удаленного сервера. После установки исправления Outlook стал проверять, что указанный путь не относится к URL-адресу в Интернете.

Исследователь Akamai Бен Барнеа нашел способ обмануть Outlook, заставив его рассматривать UNC-путь как локальный путь, минуя исправление. По его словам, все, что нужно сделать злоумышленнику, — это добавить к пути дополнительную косую черту.

UNC-пути имеют стандартный формат: две обратные косые черты, за которыми следует имя сервера или хоста. Функция безопасности Microsoft «MapURLtoZone» будет рассматривать путь к файлу, представленный как двойная косая черта как URL-адрес в Интернете. Добавление слэша вызывает ответ «MapURLtoZone» равный нулю, то есть локальный путь.

В описании эксплойта Akamai отмечает, что исправленные серверы Exchange отбрасывают инструкции для вызова пользовательского звукового файла, свойство, известное как «PidLidReminderFileParameter». Основная причина, как писал Барнеа, связана со сложной обработкой путей в Windows. Окончательным решением, по его словам, будет удаление функции пользовательских напоминаний, «поскольку она представляет больше рисков для безопасности, чем ценность для пользователей».

Темы:Угрозыэлектронная почтаMicrosoft OutlookAkamai
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...