MKD-CIRT National Centre for Computer Incident Response
Истражувачите за безбедност споделија технички детали за искористување на критичната ранливост на Microsoft Outlook за Windows (CVE-2023-23397) што им овозможува на хакерите од далечина да крадат хеширани лозинки со едноставно примање е-пошта.
Microsoft вчера објави закрпа за безбедносниот пропуст, но тој беше искористен како zero – day ранливост во NTLM – relay нападите најмалку од средината на април 2022 година.
Проблемот е privilege escalation ранливост со 9,8 сериозна оценка што влијае на сите верзии на Microsoft Outlook на Windows.
Хакерот може да го користи за да ги украде NTLM ингеренциите со едноставно испраќање на малициозна е-пошта. Не е потребна интеракција со корисникот бидејќи експлоатацијата се случува кога Outlook е отворен и потсетникот се активира на системот.
Нова Windows LAN Manager (NTLM) технологија е метод за автентикација што се користи за најавување на Windows домени користејќи хеширани ингеренции за најавување.
Иако NTLM автентикацијата доаѓа со познати ризици, таа сè уште се користи на новите системи за компатибилност со постарите системи.
Работи со хешови на лозинки што серверот ги добива од клиентот кога се обидува да пристапи до споделен ресурс, како што се SMB споделувањата. Доколку се украдени, овие хешови може да се користат за автентикација на мрежата.
Microsoft објасни дека хакерот може да користи CVE-2023-23397 за да добие NTLM хeш со испраќање „порака со продолжено MAPI property со UNC патека до SMB (TCP 445) споделување на сервер контролиран од хакерот“.
„Поврзувањето со оддалечениот SMB сервер испраќа NTLM преговарачка порака на корисникот, која хакерот потоа може да ја пренесе за автентикација против други системи кои поддржуваат NTLM автентикација“ – Microsoft
Сепак, искористувањето на проблемот бара повеќе технички детали, кои дојдоа набргу откако Microsoft ја објави поправката од истражувачите во консултантската компанија за безбедност MDSec.
По прегледувањето на скрипта од Microsoft што ги проверува ставките за пораки на Exchange за знаци на експлоатација користејќи CVE-2023-23397, членот на црвениот тим на MDSec, Dominic Chell, откри колку лесно хакерот може да ја искористи грешката.
Тој откри дека скриптата може да го бара „PidLidReminderFileParameter“ property во примените пораки и да го отстрани кога е присутно.
Chell објаснува дека ова му дозволува на испраќачот да го дефинира името на датотеката што Outlook клиентот треба да го репродуцира кога ќе се активира потсетникот за пораки.
Причината зошто ова беше можно останува загатка што истражувачот не можеше да ја разјасни бидејќи испраќачот на е-пошта не треба да може да го конфигурира звукот за предупредувањето за нова порака на системот на примачот.
Chell забележа дека ако property прифати име на датотека, исто така треба да биде можно да се додаде UNC патека за активирање на NTLM автентикацијата.
Истражувачот, исто така, откри дека PidLidReminderOverride може да се користи за да направи Microsoft Outlook да анализира оддалечена, малициозна UNC патека во PidLidReminderFileParameter.
Оваа информација му овозможи на истражувачот да создаде малициозна е-пошта на Outlook (.MSG) со датум во календарот што ќе ја активира ранливоста и ќе ги испрати NTLM хешовите до произволен сервер.
Овие украдени NTLM хешови потоа може да се користат за извршување на NTLM relay напади за подлабок пристап до корпоративните мрежи.
Освен датуми во календарот, хакерот може да користи и Microsoft Outlook Tasks, белешки или е-пораки за да ги украде хешовите.
Chell забележува дека CVE-2023-23397 може да се користи за активирање на автентикација на IP адреса што е надвор од доверливата интранет зона или доверливи сајтови.
Ранливоста беше пронајдена и пријавена до Microsoft од страна на украинскиот Computer Emergency Response Team (CERT-UA), најверојатно откако забележа дека се користи во напади кои ги таргетираат неговите услуги.
Според Microsoft, „Рускиот хакер“ ја искористил ранливоста во таргетирани напади против неколку европски организации во владиниот, транспортниот, енергетскиот и воениот сектор.
Се верува дека хакерската група која стои зад нападите е АПТ28 (познато како Strontium, Fancy Bear, Sednit, Sofacy), хакер кој е поврзан со Главниот директорат на Генералштабот на вооружените сили на Руската Федерација (GRU).
Се верува дека до 15 организации биле цел или пробиени со помош на CVE-2023-23397, последниот напад се случи минатиот декември.
По добивањето пристап, хакерите често ги користат Impacket и PowerShell Empire open-source frameworks за да ја рашират својата активност и да преминат во повредни системи на мрежата за да соберат информации.
Администраторите силно се советуваат да дадат приоритет на поправање на CVE-2023-23397 и да ја користат Microsoft скриптата за да проверат дали има знаци на експлоатација со тоа што ќе проверат дали ставките за пораки во Exchange доаѓаат со UNC патека.
Извор: BleepingComputer
