Μία ευπάθεια που είχε επιδιορθωθεί πρόσφατα στο Microsoft Outlook μπορούσε να εκμεταλλευτεί από χάκερς για να αποκτήσουν πρόσβαση σε κατακερματισμένους κωδικούς πρόσβασης NT LAN Manager (NTLM) v2 κατά το άνοιγμα ενός ειδικά δημιουργημένου αρχείου.
Το πρόβλημα, γνωστό ως CVE-2023-35636 (με βαθμολογία CVSS: 6,5), αντιμετωπίστηκε από τον τεχνολογικό γίγαντα ως μέρος των ενημερώσεων του Patch Tuesday για τον Δεκέμβριο του 2023.
Διαβάστε ακόμη: Επείγουσα προειδοποίηση για χρήστες Gmail, Outlook, Hotmail και Yahoo
Σε ένα σενάριο επίθεσης μέσω email, ένας χάκερ θα μπορούσε να εκμεταλλευτεί μια ευπάθεια, αποστέλλοντας ένα ειδικά δημιουργημένο αρχείο στον παραλήπτη και πείθοντάς τον να το ανοίξει. Απλά, ο χάκερ πείθει τους χρήστες να κάνουν κλικ σε έναν σύνδεσμο, είτε μέσω phishing email είτε μέσω άμεσου μηνύματος, και στη συνέχεια τους εξαπατά για να ανοίξουν το εν λόγω αρχείο.
Η ευπάθεια CVE-2023-35636 απορρέει από τη λειτουργία κοινής χρήσης ημερολογίου στην εφαρμογή email του Outlook. Μέσω της δημιουργίας ενός κακόβουλου email και με την εισαγωγή δύο κεφαλίδων, “Content-Class” και “x-sharing-config-url”, με επεξεργασμένες τιμές, αποκαλύπτεται ο κατακερματισμός NTLM του θύματος κατά τη διαδικασία ελέγχου ταυτότητας.
Ο ερευνητής ασφαλείας της εταιρείας Varonis, Dolev Taler, αναφέρει ότι υπάρχουν ευπάθειες στον κατακερματισμό NTLM, οι οποίες μπορούν να εκμεταλλεύονται μέσω των εργαλείων Windows Performance Analyzer (WPA) και Windows File Explorer. Και οι δύο αυτές μεθόδοι επίθεσης δνε έχουν διορθωθεί. Είναι ιδιαίτερα ενδιαφέρον το γεγονός ότι το WPA προσπαθεί να επαληθεύσει την ταυτότητα χρησιμοποιώντας το NTLM v2 μέσω του ανοιχτού ιστού, κάτι που το καθιστά ευάλωτο σε επιθέσεις, είτε μέσω αναμετάδοσης είτε βρίσκοντας εκτός σύνδεσης.
Η ανακάλυψη περιλαμβάνει ένα περιστατικό “αναγκαστικής επαλήθευσης ταυτότητας”, όπου μπορεί να διαρρεύσει τα διαπιστευτήρια NTLM ενός χρήστη των Windows, με την εξαπάτηση ενός θύματος να ανοίξει ένα αρχείο της Microsoft Access.
Δείτε περισσότερα: Προσοχή! Κυκλοφόρησαν PoC exploits για κρίσιμη ευπάθεια Jenkins
Τον Οκτώβριο του 2023, η Microsoft ανακοίνωσε τα σχέδιά της να διακόψει την υποστήριξη του NTLM στα Windows 11 και να επικεντρωθεί στο Kerberos για να βελτιώσει την ασφάλεια. Αυτή η απόφαση λήφθηκε λόγω της έλλειψης υποστήριξης κρυπτογραφικών μεθόδων και της ευπάθειας σε επιθέσεις αναμετάδοσης.
Πηγή: thehackernews.com
 v2 κατά το άνοιγμα ενός ειδικά δημιουργημένου αρχείου.){kind=link}