Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Хакеры могут украсть пароль Outlook с помощью NTML-хэшей

31/01/24

hack14-Jan-31-2024-08-50-43-5023-AM

Устраненная уязвимость безопасности в Microsoft Outlook может быть использована злоумышленниками для доступа к хешированным паролям NT LAN Manager (NTLM) v2 при открытии специально созданного файла.

NTLM v2 — это протокол, используемый для аутентификации пользователей на удалённых серверах, поясняет Securitylab. Хэш пароля пользователя NTLM v2 может быть ценным для злоумышленников, поскольку они могут либо запустить атаку методом перебора и получить пароль в виде открытого текста, либо использовать хэш для аутентификации напрямую.

Проблема, отслеживаемая как CVE-2023-35636 (оценка CVSS: 6.5), была устранена Microsoft в рамках внеплановых обновлений безопасности в декабре 2023 года. Согласно заявлению Microsoft, недостаток работает следующим образом:

  • в сценарии атаки по электронной почте киберпреступник может воспользоваться уязвимостью, отправив пользователю специально созданный файл и убедив его открыть файл;
  • в сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать взломанный веб-сайт, который принимает или размещает предоставленный пользователем контент), содержащий специально созданный файл, предназначенный для использования уязвимости.

Иными словами, атакующему нужно убедить жертву перейти по ссылке, встроенной в фишинговое электронное письмо или отправленной через сообщение, а затем обманом заставить её открыть соответствующий файл.

CVE-2023-35636 затрагивает функцию общего доступа к календарю в Outlook, в которой вредоносное электронное письмо создается путем вставки двух заголовков «Content-Class» и «x-sharing-config-url» со ​​специально созданными значениями по порядку, чтобы раскрыть NTLM-хэш жертвы во время аутентификации. Письмо заставляет Outlook подключиться к серверу хакера и передать ему хэш NTLM v2 для аутентификации.

Исследователь безопасности Varonis Долев Талер, которому приписывают обнаружение и сообщение об ошибке, сказал, что утечка хэшей NTLM может произойти при использовании анализатора производительности Windows (Windows Performance Analyzer, WPA) и проводника Windows. Однако эти два метода атаки остались без исправлений.

Талер отметил, что WPA пытается аутентифицироваться с использованием NTLM v2 через открытую сеть. Обычно NTLM v2 следует использовать при попытке аутентификации во внутренних службах на основе IP-адреса. Однако, когда хэш NTLM v2 проходит через открытый Интернет, он уязвим для атак ретрансляции и автономных атак методом перебора.

Темы:УгрозыпаролиMicrosoft OutlookVaronisNTLM-хэши
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...