8 (800) 707-46-28
Бесплатный звонок из регионов

Microsoft исправил уязвимость в Outlook только наполовину

Главная / Архив новостей / Уязвимость в Outlook исправлена Microsoft лишь наполовину, хищение хэшей NTLM-паролей всё ещё возможно
Уязвимость в Outlook исправлена Microsoft лишь наполовину, хищение хэшей NTLM-паролей всё ещё возможно

Уязвимость CVE-2018-0950 в почтовом клиенте Microsoft Outlook была обнаружена Уиллом Дорманом (Will Dormann) из Координационного центра CERT. Суть уязвимости заключается в том, что объекты OLE в электронных письмах в формате RTF (Rich Text Format) обрабатываются этим почтовым клиентом автоматически, без запроса разрешения на действие у пользователя. Другие приложение Microsoft из семейства Office – Word, Excel, PowerPoint разрешение в таких случаях у пользователя запрашивают.

Эксплуатируя уязвимость исследователю удалось похитить хэши NTLM-паролей атакуемых пользователей. Получив письмо с вредоносным объектом OLE в Outlook атакованная ОС Windows автоматически попыталась авторизоваться на указанном исследователем сервере, отправив NTLM-хэш пользователя. Потенциальному взломщику остаётся лишь расшифровать NTLM-хэш чтобы получить доступ к почте, домену Active Directory и прочим сервисам на базе Microsoft Windows.

Уязвимость была обнаружена исследователем ещё в 2016 году и лишь спустя 18 месяцев производитель решил выпустить исправление. Однако, как оказалось исправление не устраняет основную проблему, а лишь производит блокировку SMB-подключения почтовым клиентом Outlook в процессе предпросмотра email формата RTF. Разрешения пользователя на обработку OLE-объектов Outlook по-прежнему не запрашивает. Следовательно, возможно продолжение эксплуатации уязвимости путём указания в письмах UNC-ссылок на ложные SMB-серверы — такие ссылки Outlook автоматически форматирует как кликабельные и при нажатии на неё NTLM-хэш пользователя опять же будет отправлен на сторонний сервер.

Так Microsoft в очередной рад показал, что спасение утопающих дело рук самих утопающих. Чтобы не стать жертвой уязвимости даже после установки патча, пользователям Outlook рекомендуется:

  • ограничить межсетевых экраном SMB-соединения пределами корпоративной сети;
  • отключить авторизацию NTLM SSO (Single Sign-on);
  • использовать длинные и надёжные пароли, чтобы максимально усложнить их взлом перебором хэша NTLM;

Хостинг-провайдер Tendence рекомендует использовать свободно распространяемый Mozilla Thunderbird в качестве надёжного и безопасного клиента корпоративной электронной почты.



При перепубликации статьи обязательна установка активной индексируемой гиперссылки на источник - сайт TENDENCE.RU

1795 просмотров

2011-07-21

2827


Отчёт о спам-активности в июне 2011-го года: объём спама в почте увеличился до 83%
2014-09-22

3455


БелТелеком наконец-то отключил 25-ый TCP-порт в своей сети и объём спама с его IP-адресов уменьшился на порядок
2019-01-22

1054


Киберпреступники из Silence атакуют российские банки по электронной почте - поддельное приглашение на iFin-2019 заражено вредоносом
2019-09-27

971


Злоумышленники реанимировали крупнейший ботнет Emotet. Вредоносная сеть активирована после 4 мес. бездействия
2013-12-31

2569


Symantec: отчёт по спаму за ноябрь 2013 года. Основные источники спама - США, Бразилия, Россия
2017-10-23

2868


Заражение компьютера возможно после открытия письма с rtf-файлом в Outlook
2016-04-15

2217


Почтовый хостинг Facebook закрывается с мая. Компания отказалась от поддержки хостинга почты
2011-04-11

3820


Официальный представитель Google в России "Google Inc. сотрудничает с правоохранительными органами"