Martā Microsoft novērsa interesantu ievainojamību programmā Outlook, ko ļaundari izmantoja, lai nopludinātu upuru Windows akreditācijas datus. Šonedēļ IT gigants izlaida šo labojumu kā daļu no ikmēneša otrdienas atjauninājuma.
Lai atgādinātu par sākotnējo kļūdu, tā tika izsekota kā CVE-2023-23397: bija iespējams nosūtīt kādam e-pastā atgādinājumu ar pielāgotu paziņojuma skaņu. Šo pielāgoto audio var norādīt kā URL ceļu e-pastā.
Ja nepareizā persona rūpīgi izstrādāja pastu ar šo audio ceļu, kas iestatīts uz attālo SMB serveri, tad, kad Outlook ienes ziņojumu un apstrādā to, automātiski izsekojot ceļu uz failu serveri, tā lietotājam, kurš mēģina Pieslēgties. Tādējādi jaucējfails tiks efektīvi nopludināts ārējai pusei, kas, iespējams, varētu izmantot akreditācijas datus, lai piekļūtu citiem resursiem, piemēram, šim lietotājam, ļaujot hakeriem izpētīt iekšējā tīkla sistēmas, nozagt dokumentus, uzdoties par savu upuri un tā tālāk.
Pirms diviem mēnešiem ieviestais ielāps lika Outlook izmantot Windows funkcionalitāti MapUrlToZone Lai pārbaudītu, kur īsti norāda paziņojumu skaņas celiņš, ja tas ir tiešsaistē, tas tiks ignorēts un tiks atskaņota noklusējuma skaņa. Tam vajadzēja apturēt klienta savienojumu ar attālo serveri un jaucējkodu noplūdi.
Izrādās, ka uz MapUrlToZone balstītu aizsardzību var apiet, un tas mudināja Microsoft atbalstīt tās labošanu maijā, martā. Sākotnējā kļūda tika izmantota savvaļā, un, kad tās ielāps nokļuva, tā piesaistīja ikviena uzmanību. Šī interese palīdzēja atklāt, ka reforma bija nepilnīga.
Un, ja tā tiek atstāta nepilnīga, ikviens, kurš ļaunprātīgi izmanto sākotnējo kļūdu, var izmantot otru ievainojamību, lai apietu sākotnējo ielāpu. Skaidrības labad jāsaka, ka nav tā, ka labojums CVE-2023-23397 nedarbojās — tas bija — ar to nepietika, lai pilnībā aizvērtu pielāgotā audio faila caurumu.
Šī ievainojamība ir vēl viens ielāpu pārbaudes piemērs, kas rada jaunas ievainojamības un pārkāpumus. Viņš teica Bens Parnia no Akamai, kurš pamanīja MapUrlToZone pārplūdi un ziņoja par to.
Īpaši šai ievainojamībai, pievienojot vienu rakstzīmi, var apiet kritisko ielāpu.
Būtiski, lai gan pirmā kļūda bija programmā Outlook, šī otrā problēma ar MapUrlToZone ir saistīta ar Microsoft šīs funkcionalitātes ieviešanu Windows API. Parnia raksta, ka tas nozīmē, ka otrais ielāps nav paredzēts programmai Outlook, bet gan pamatā esošajai MSHTML platformai sistēmā Windows, un šī kļūda ietekmē visas operētājsistēmas versijas. Problēma ir tāda, ka ļaunprātīgi ģenerēto maršrutu var nodot MapUrlToZone, lai funkcija noteiktu, ka maršruts nav uz ārējo internetu, kad tas patiesībā ir tad, kad programma nāk, lai atvērtu maršrutu.
Saskaņā ar Barnea teikto, e-pastos var būt atgādinājums, kas ietver pielāgotu paziņojuma skaņu, kas norādīta kā ceļš, izmantojot MAPI rekvizītu, kas paplašināts, izmantojot PidLidReminderFileParameter.
“Uzbrucējs varētu norādīt UNC ceļu, kas liktu klientam izgūt audio failu no jebkura SMB servera,” viņš paskaidroja. Savienojuma ar attālo SMB serveri ietvaros sarunu ziņojumā tiek nosūtīts Net-NTLMv2 jaucējfails.
Šī kļūme bija pietiekami nopietna, lai iegūtu CVSS nopietnības vērtējumu 9,8 no 10, un to izmantoja Krievijas apkalpe aptuveni gadu, kad martā tika izdots labojums. Kiberbanda to izmantoja uzbrukumos organizācijām Eiropas valdībās, kā arī transporta, enerģētikas un militārajās telpās.
Lai atrastu Microsoft oriģinālā ielāpa apvedceļu, Barnea vēlējās izveidot maršrutu, ko MapUrlToZone apzīmētu kā lokālu, iekštīklu vai uzticamu zonu — tas nozīmē, ka Outlook varētu tai droši sekot, taču, kad tas tika nodots funkcijai CreateFile, lai to atvērtu, tas padarītu OS dodieties, lai izveidotu savienojumu ar attālo serveri.
Galu galā viņš atklāja, ka nelieši var mainīt URL atgādinājumos, kas lika MapUrlToZone pārbaudīt, vai attālie ceļi tiek uzskatīti par vietējiem ceļiem. To var izdarīt, nospiežot vienu taustiņu, pievienojot otro “\” Universālās nosaukšanas konvencijas (UNC) ceļam.
“Neautentificēts uzbrucējs internetā var izmantot ievainojamību, lai piespiestu Outlook klientu izveidot savienojumu ar serveri, kuru kontrolē uzbrucējs,” rakstīja Parnia. “Tā rezultātā tiek nozagti NTLM akreditācijas dati. Tā ir ievainojamība, uz kuru nevar noklikšķināt, kas nozīmē, ka tā var darboties bez lietotāja iejaukšanās.”
Viņš piebilda, ka problēma, šķiet, ir “sarežģītās ceļu apstrādes rezultāts sistēmā Windows…. Mēs uzskatām, ka šāda veida neskaidrības var izraisīt ievainojamības citās programmās, kas izmanto MapUrlToZone lietotāja kontrolētā ceļā un pēc tam izmanto faila darbību. (piemēram, CreateFile vai API līdzīgas lietotnes) tajā pašā ceļā.”
kļūme, CVE-2023-29324Viņam CVSS smaguma pakāpe ir 6,5. Microsoft iesaka organizācijām Remonts Gan šī ievainojamība – ielāps tika izlaists šīs nedēļas ielāpu otrdienas ietvaros -, gan arī iepriekšējais CVE-2023-23397.
Parnia rakstīja, ka viņš cer, ka Microsoft noņems pielāgoto atgādinājuma skaņas funkciju, sakot, ka tas lietotājiem rada vairāk drošības risku nekā jebkura iespējamā vērtība.
“Tā ir nulles klikšķu multivides analīzes uzbrukuma virsma, kurā var būt kritiskas atmiņas bojājuma ievainojamības,” viņš rakstīja. “Ņemot vērā to, cik visuresoša ir sistēma Windows, tik nobriedušas uzbrukuma virsmas novēršanai varētu būt ļoti pozitīva ietekme.” ®
/cdn.vox-cdn.com/uploads/chorus_asset/file/23986615/acastro_STK097_01.jpg)
