Mart ayında Microsoft, Outlook’ta kötü niyetli kişilerin kurbanların Windows kimlik bilgilerini sızdırmak için kullandıkları ilginç bir güvenlik açığını düzeltti. BT devi bu hafta, aylık Salı güncellemesinin bir parçası olarak bu düzeltmeyi yayınladı.
Size orijinal hatayı hatırlatmak için şu şekilde izlendi: CVE-2023-23397: Özel bir bildirim sesiyle birisine bir hatırlatıcı e-posta göndermek mümkündü. Bu özel ses, e-posta içinde bir URL yolu olarak belirtilebilir.
Yanlış kişi, bu ses yolu uzak bir SMB sunucusuna ayarlanmış şekilde postayı dikkatli bir şekilde oluşturduysa, Outlook iletiyi alıp işlediğinde, dosya sunucusuna giden yolu otomatik olarak izleyerek, göndermeye çalışan kullanıcıya bir Net-NTLMv2 karması verir. giriş yapmak. Bu, hash’i, o kullanıcı gibi diğer kaynaklara erişmek için kimlik bilgilerini potansiyel olarak kullanabilen, bilgisayar korsanlarının dahili ağ sistemlerini keşfetmesine, belgeleri çalmasına, kurbanlarının kimliğine bürünmesine vb. izin veren bir dış tarafa etkili bir şekilde sızdıracaktır.
İki ay önceki yama, Outlook’un Windows işlevselliğini kullanmasını sağladı HaritaUrlToZone Bildirim sesinin gerçekten nereye işaret ettiğini kontrol etmek için, eğer çevrimiçiyse yoksayılacak ve varsayılan ses çalınacaktır. Bu, istemcinin uzak bir sunucuya bağlanmasını ve hash sızdırmasını durdurmalıydı.
MapUrlToZone tabanlı korumanın atlanabileceği ortaya çıktı ve bu da Microsoft’un Mart ayında Mayıs ayında bir düzeltmeyi desteklemesine neden oldu. Orijinal böcek vahşi ortamda istismar edildi ve bu yüzden yaması geldiğinde herkesin dikkatini çekti. Bu ilgi, reformun eksik olduğunu ortaya çıkardı.
Eksik bırakılırsa, orijinal hatayı kötüye kullanan herkes orijinal yamayı aşmak için diğer güvenlik açığını kullanabilir. Açık olmak gerekirse, CVE-2023-23397 düzeltmesi işe yaramadı – işe yaradı – özel ses dosyası deliğini tamamen kapatmak için yeterli değildi.
Bu güvenlik açığı, yeni güvenlik açıklarına ve kötüye kullanımlara yol açan yama denetiminin başka bir örneğidir. dedi MapUrlToZone taşmasını fark eden ve bildiren Akamai’den Ben Parnia.
Özellikle bu güvenlik açığı için, tek bir karakter eklemek, kritik bir yamanın atlanmasını sağlar.
En önemlisi, ilk hata Outlook’tayken, MapUrlToZone ile ilgili bu ikinci sorun, Microsoft’un bu işlevi Windows API’sinde uygulamasından kaynaklanmaktadır. Parnia, bunun, ikinci yamanın Outlook için değil, Windows’taki temel MSHTML platformu için olduğu ve işletim sisteminin tüm sürümlerinin bu hatadan etkilendiği anlamına geldiğini yazıyor. Sorun şu ki, kötü niyetli olarak oluşturulan rota MapUrlToZone’a geçirilebilir, böylece uygulama rotayı açmaya geldiğinde, fonksiyon rotanın harici internete olmadığını belirler.
Barnea’ya göre e-postalar, PidLidReminderFileParameter kullanılarak genişletilen bir MAPI özelliğini kullanan bir yol olarak belirtilen özel bir bildirim sesi içeren bir anımsatıcı içerebilir.
“Bir saldırgan, istemcinin ses dosyasını herhangi bir SMB sunucusundan almasına neden olacak bir UNC yolu belirtebilir,” diye açıkladı. Uzak SMB sunucusuna bağlantının bir parçası olarak, bir anlaşma mesajında bir Net-NTLMv2 karması gönderilir.
Bu aksaklık, 10 üzerinden 9,8’lik bir CVSS önem derecesi alacak kadar kötüydü ve düzeltme Mart ayında yayınlandığında yaklaşık bir yıldır Rusya’ya bağlı bir ekip tarafından istismar ediliyordu. Siber çete bunu Avrupa hükümetlerindeki kuruluşlar ile ulaşım, enerji ve askeri alanlardaki saldırılarda kullandı.
Barnea, Microsoft’un orijinal yaması için bir baypas bulmak amacıyla, MapUrlToZone’un yerel, intranet veya güvenilir bölge olarak etiketleyeceği bir yol oluşturmak istedi; bu, Outlook’un güvenle izleyebileceği anlamına geliyordu; İşletim sistemi uzak bir sunucuya bağlanmaya gider.
Sonunda, piçlerin hatırlatıcılardaki URL’yi değiştirebileceğini keşfetti, bu da MapUrlToZone’u uzak yolların yerel yollar olarak görüldüğünü kontrol etmesi için kandırdı. Bu, Evrensel Adlandırma Kuralı (UNC) yoluna ikinci bir “\” ekleyerek tek bir tuş vuruşuyla yapılabilir.
Parnia, “İnternetteki kimliği doğrulanmamış bir saldırgan, bir Outlook istemcisini saldırgan tarafından kontrol edilen bir sunucuya bağlanmaya zorlamak için bu güvenlik açığını kullanabilir” diye yazdı. “Bu, NTLM kimlik bilgilerinin çalınmasına neden oluyor. Tıklanamayan bir güvenlik açığı, yani kullanıcı etkileşimi olmadan çalışabileceği anlamına geliyor.”
Sorunun “Windows’taki yolların karmaşık işlenmesinin bir sonucu gibi göründüğünü” sözlerine ekledi. … Bu tür bir karışıklığın, MapUrlToZone’u kullanıcı kontrollü bir yolda kullanan ve ardından bir dosya işlemi kullanan diğer programlarda güvenlik açıklarına neden olabileceğine inanıyoruz. (CreateFile veya API benzeri uygulamalar gibi) aynı yolda.”
kusur, CVE-2023-293246.5 CVSS şiddet puanına sahip. Microsoft kuruluşları önerir Tamirat Hem bu güvenlik açığı – bu hafta Salı Yaması kapsamında bir yama yayınlandı – hem de önceki CVE-2023-23397.
Parnia, Microsoft’un özel hatırlatma sesi özelliğini kaldırmasını umduğunu yazdı ve bunun kullanıcılar için herhangi bir potansiyel değerden daha fazla güvenlik riski oluşturduğunu söyledi.
“Kritik bellek bozulması güvenlik açıklarını içerebilen, tıklama gerektirmeyen bir medya analizi saldırı yüzeyidir” diye yazdı. “Windows’un ne kadar yaygın olduğu göz önüne alındığında, bir saldırı yüzeyini olabildiğince olgun bir şekilde ortadan kaldırmanın bazı çok olumlu etkileri olabilir.” ®
. “Çıldırtıcı derecede alçakgönüllü bira ustası. Gururlu domuz pastırması evangelisti. Tam bir twitter bilgini. Problem çözücü. Dost düşünür.”
More Stories
Resmi Deadpool akıllı telefonu burada ve çok kırmızı
Mortal Kombat 1: Khaos Reigns duyuruldu – hikaye genişletmesi, yeni dövüşçüler ve ‘büyük sürprizler’
13. ve 14. Nesil Intel işlemcilerin çökmesi, yani kalıcı hasar görmesi sorununun çözümü yok