Kradzież hash’u hasła do Windows i nie do końca załatana luka w Microsoft Outlook

13 kwietnia, 2018

Najwyraźniej firma Microsoft uważa, że zrobiła wszystko, co do niej należało, aby zabezpieczyć najbardziej popularnego klienta poczty na świecie, aplikację Microsoft Outlook. Zgłoszona 18 miesięcy temu luka przez Willa Dormanna z amerykańskiego CERT Coordination Center została tylko częściowo załatana. Jak wyjaśnia ekspert, w ostatniej aktualizacji w ramach „Patch Tuesday” (drugi wtorek każdego miesiąca) Microsoft nie do końca wyeliminował problem, który jest związany z podatnością o identyfikatorze CVE-2018-0950.

Początkowo chodziło o bardzo poważny błąd w Microsoft Outlook. Wykorzystanie luki ujawniało poświadczenia logowania do Windows, gdy ofiara otrzymała wiadomość e-mail w formacie RTF zawierającą obiekty OLE. Tak więc za pośrednictwem klienta poczty Microsoft Outlook wystarczyło odczytać wiadomość — wtedy następowało automatycznie zainicjowanie połączenia SMB do serwera kontrolowanego przez atakującego. Żadna interakcja ze strony użytkownika nie była wymagana.

Na poniższym zrzucie ekranu pokazane jest, że zdalny obraz nie jest ładowany. Wymagana jest interakcja z użytkownikiem. Są to standardowe zabezpieczenia MS Outlook, które przeciwdziałają ujawnieniu prawdziwego adresu IP ofiary oraz innych metadanych (dotyczy to zwykłej wiadomości TXT lub HTML).

Microsoft Outlook luka

Will Dormann wykonał to samo doświadczenie z formatem wiadomości RTF i obiektem OLE, który jest ładowany ze zdalnego serwera SMB/CIFS:

Microsoft Outlook luka 2

Jeśli wiadomość jest w formacie RTF, to klient poczty Outlook ładuje obiekt OLE bez żadnej interakcji.

Zapisany ruch w oprogramowaniu WireShark ujawnia, co naprawdę udało się pozyskać:

WireShark zrzut ruchu sieciowego

Odczytanie wiadomości doprowadziło do kradzieży informacji o adresie IP, nazwie domeny, nazwie użytkownika, nazwie hosta, automatycznego nawiązania sesji SMB oraz hash’u uwierzytelniania w protokole NTLMv2, które na GPU nVidia 960 udało się złamać w 1 sekundę (chociaż trzeba przyznać, że hasło „test_user” jest bardzo łatwe do złamania).

To nie jedyny problem związany z CVE-2018-0950. Użytkownik dostaje gratis BSOD i wpada w pętlę — Outlook zapamiętuje ostatnią otwartą wiadomość, więc przy każdym zrestartowaniu systemu i próbie otworzenia klienta poczty, system ponownie się zawiesza.

BSOD Windows przez błąd w Outlook

Wydana przez Microsoft aktualizacja dla podatności CVE-2018-0950 nie pozwala już na automatyczne ładowanie zawartości OLE ze zdalnego serwera, ale atakujący w dalszym ciągu może to obejść, stosując atak socjotechniczny, wymagający już kliknięcia w URL, który rozpocznie nawiązywanie połączenia z obcym SMB.

W przygotowanym poradniku zaleca się, aby zablokować połączenia dla 445/tcp, 137/tcp, 139/tcp, 137/udp i 139/udp, wdrożyć udostępnione aktualizacje, wyłączyć NTLM Single Sign-on (SSO) oraz stosować złożone hasła.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]