Зашто је Мицрософт управо закрпио закрпу која је уклонила грешку Оутлоок Ундер Аттацк • Регистар

У марту, Мицрософт је поправио занимљиву рањивост у Оутлоок-у коју су злобници искористили да би открили Виндовс акредитиве жртава. Ове недеље, ИТ гигант је увео ту исправку као део свог месечног ажурирања у уторак.

Да вас подсетим на првобитну грешку, праћена је као ЦВЕ-2023-23397: Било је могуће послати е-пошту некоме са подсетником са прилагођеним звуком обавештења. Овај прилагођени звук се може навести као УРЛ путања унутар е-поште.

Ако је погрешна особа пажљиво креирала пошту са том аудио путањом постављеном на удаљени СМБ сервер, онда када Оутлоок преузме поруку и обради је, аутоматски пратећи путању до сервера датотека, предаће Нет-НТЛМв2 хеш кориснику који покушава да Пријавите се. Ово ће ефективно процурити хеш спољној страни, која би потенцијално могла да користи акредитиве за приступ другим ресурсима као што је тај корисник, омогућавајући хакерима да истражују интерне мрежне системе, краду документе, лажно представљају своју жртву и тако даље.

Закрпа од пре два месеца натерала је Оутлоок да користи Виндовс функционалност МапУрлТоЗоне Да бисте проверили где звучни запис обавештења заиста показује, ако је на мрежи биће игнорисан и репродуковаће се подразумевани звук. Ово је требало да спречи клијента да се повеже са удаљеним сервером и да цури хеш.

Испоставило се да се заштита заснована на МапУрлТоЗоне може заобићи, што је навело Мицрософт да подржи исправку за то у марту у мају. Оригинална буба је експлоатисана у дивљини, и тако када је њена закрпа слетела, привукла је свачију пажњу. Ово интересовање је помогло да се открије да је реформа недовршена.

А ако остане непотпун, свако ко злоупотреби оригиналну грешку може да користи другу рањивост да заобиђе оригиналну закрпу. Да буде јасно, није да исправка ЦВЕ-2023-23397 није функционисала – јесте – није била довољна да се потпуно затвори рупа прилагођене аудио датотеке.

Ова рањивост је још један пример провере закрпа које води до нових рањивости и злоупотреба. Рекао је Бен Парниа из Акамаија, који је уочио и пријавио преливање МапУрлТоЗоне.

Посебно за ову рањивост, додавање једног знака омогућава да се заобиђе критична закрпа.

Оно што је најважније, док је прва грешка била са Оутлоок-ом, овај други проблем са МапУрлТоЗоне лежи у Мицрософтовој имплементацији ове функционалности у Виндовс АПИ. Парниа пише да то значи да друга закрпа није за Оутлоок већ за основну МСХТМЛ платформу у Виндовс-у и да су све верзије оперативног система погођене овом грешком. Проблем је у томе што се злонамерно генерисана рута може проследити МапУрлТоЗоне тако да функција одређује да рута није до спољног интернета када заправо јесте када апликација дође да отвори руту.

Према Барнеи, е-поруке могу да садрже подсетник који укључује прилагођени звук обавештења наведен као путања помоћу својства МАПИ проширеног помоћу ПидЛидРеминдерФилеПараметер.

„Нападач би могао да наведе УНЦ путању која би проузроковала да клијент преузме аудио датотеку са било ког СМБ сервера“, објаснио је он. Као део везе са удаљеним СМБ сервером, Нет-НТЛМв2 хеш се шаље у поруци преговарања.

Ова грешка је била довољно лоша да добије ЦВСС оцену озбиљности од 9,8 од 10 и користила га је екипа која је била у Русији око годину дана до тренутка када је исправка објављена у марту. Сајбер банда га је користила у нападима на организације у европским владама, као и на транспортне, енергетске и војне просторе.

Да би пронашао заобилазницу за Мицрософтову оригиналну закрпу, Барнеа је желео да направи руту коју би МапУрлТоЗоне означио као локалну, интранет или поуздану зону – што значи да би Оутлоок могао безбедно да је прати – али када би се проследио функцији ЦреатеФиле да би је отворио, направио би ОС идите да бисте се повезали са удаљеним сервером.

На крају је открио да копилад могу да промене УРЛ у подсетницима, што је натерало МапУрлТоЗоне да провери да ли се удаљене путање виде као локалне путање. Ово се може урадити једним притиском на тастер, додавањем другог „\“ путањи Универзалне конвенције о именовању (УНЦ).

„Нападач на Интернету без аутентификације могао би да искористи рањивост да примора Оутлоок клијента да се повеже са сервером који контролише нападач“, написао је Парниа. „Ово доводи до крађе НТЛМ акредитива. То је рањивост на коју се не може кликнути, што значи да може да ради без интеракције корисника.“

Он је додао да се чини да је проблем „резултат сложеног руковања путањама у Виндовс-у. … Верујемо да ова врста забуне може да изазове рањивости у другим програмима који користе МапУрлТоЗоне на путањи коју контролише корисник, а затим користе операцију датотеке (као што је ЦреатеФиле или сличне апликације за АПИ) на истој путањи.“

квар, ЦВЕ-2023-29324Он има ЦВСС оцену озбиљности 6,5. Мицрософт препоручује организације Репаир И ова рањивост – закрпа је објављена као део закрпе у уторак ове недеље – као и претходни ЦВЕ-2023-23397.

Парниа је написао да се нада да ће Мицрософт уклонити прилагођену звучну функцију подсетника, рекавши да она представља више безбедносних ризика од било које потенцијалне вредности за кориснике.

„То је површина за напад на анализу медија без клика која може садржати критичне рањивости оштећења меморије“, написао је он. „С обзиром на то колико је Виндовс свеприсутан, елиминисање тако зреле површине за напад може имати неке веома позитивне ефекте.“ ®