Обновление от Microsoft лишь наполовину исправляет уязвимость в Outlook

http://www.itsec.ru/newstext.php?news_id=122474

С выходом плановых ежемесячных обновлений безопасности 10 апреля текущего года Microsoft также выпустила патч для старой уязвимости в Outlook, известной еще с 2016 года. Тем не менее, просто установить обновление для полного исправления уязвимости недостаточно, и необходимо принять дополнительные меры.

Речь идет об уязвимости CVE-2018-0950 в сервисе Microsoft Outlook, обнаруженной Уиллом Дорманом (Will Dormann) из Координационного центра CERT. Как пояснил исследователь, проблема заключается в том, что Outlook обрабатывает объекты OLE в электронных письмах формата RTF автоматически, не запрашивая разрешения пользователей, как это происходит в случае с другими приложениями Office (Word, Excel и PowerPoint).

Автоматический рендеринг объектов OLE влечет за собой целый ряд проблем и является популярным вектором для распространения вредоносного ПО. По словам Дормана, путем эксплуатации уязвимости ему удалось похитить пароли пользователей, а точнее, хеши NTLM. Исследователь просто отправил пользователю Outlook электронное письмо с объектом OLE, отправляющим запросы на удаленный вредоносный сервер SMB. Атакуемая ОС Windows автоматически попыталась аутентифицироваться на вредоносном сервере, отправив хеш NTLM пользователя.

Атакующему достаточно лишь получить хеши, взломать их и использовать для проникновения в систему и другие части внутренней сети.

Дорман уведомил производителя об уязвимости в ноябре 2016 года, и спустя 18 месяцев Microsoft выпустила патч. Тем не менее, по словам исследователя, обновление не исправляет главную проблему, а лишь блокирует установку сервисом Outlook SMB-подключения при предпросмотре электронных писем в формате RTF. При этом Outlook по-прежнему не запрашивает у пользователя разрешение на рендеринг объектов OLE.

Как отметил Дорман, существуют и другие пути получения хешей NTLM, например, путем внедрения в электронные письма UNC-ссылок на серверы SMB. Такие ссылки Outlook автоматически делает кликабельными. Если жертва нажмет на подобную ссылку, атакующий сможет проэксплуатировать уязвимость в обход апрельского патча.

Для предотвращения возможной эксплуатации уязвимости рекомендуется заблокировать входящие и исходящие SMB-соединения в границах сети, отключить аутентификацию NTLM Single Sign-on (SSO) и использовать надежные пароли, которые хакеру будет сложно получить путем взлома хешей NTLM.