Na novou zranitelnost upozornili experti z Varonis Labs. Kromě Outlooku je zneužitelná i v aplikacích Windows Performance Analyzer a Průzkumník Windows. Útočníci mohou jejím prostřednictvím získat přihlašovací hesla, která jsou šifrovaná pomocí protokolu NTLM v2. Jde o kryptografickou metodu, která se používá k ověřování uživatelů pro vzdálené servery. Přestože je tato verze služby bezpečnější než její předchůdce, vůči útokům je stále zranitelná.
Protokol NTLM v2 hesla přenáší v podobě takzvaných hashů. Hashování, tedy převod hesla v řadu písmen a číslic, se provádí aplikací šifrovacího algoritmu.
Útoky hrubou silou a autentizační přenos: tyto metody hackeři zneužívají k získání hesel do aplikace Outlook
Tyto hashe jsou ale pro hackery skutečnou lahůdkou, protože v podstatě reprezentují ekvivalent hesla. Samotná hodnota hashe stačí k ověření pravosti. Útoky hackerů pak mohou probíhat dvěma způsoby: offline jako "útok hrubou silou" nebo jako autentizační relace.
Při offline útoku už hackeři mají kopii hashe NTLM v2 a pomocí počítače vygenerují všechna možná hesla. Poté je postupně zkouší, dokud nenajdou to správné. Útok není v síti viditelný, takže jej nelze odhalit. Této metodě útoku se v bezpečnostních kruzích také říká "password spraying".
Při druhém způsobu, tedy zneužití autentizační relace, hacker zachytí v průběhu ověřovacího přenosu požadavek na ověření NTML v2 a předá jej jinému serveru. Zařízení oběti pak odešle odpověď na ověření, ta ale už putuje na server, který kontroluje hacker. Útočník tak získá informace, které potřebuje k přístupu na zacílený server.
Nebezpečí pro uživatele Outlooku: jde o zranitelnost e-mailové služby
Bezpečnostní chyba v aplikaci Outlook se nachází ve funkci kalendáře. Kalendář aplikace Outlook je možné sdílet s ostatními uživateli. Tuto funkci však lze zneužít vložením několika hlaviček do e-mailu. To vyvolá pokus o ověření, který způsobí přesměrování hashovaného hesla. Tato zranitelnost je označena jako CVE-2023-35636.
Zranitelnost umožňující zneužití aplikace Outlook byla Microsoftem uznána jako důležitá a ohodnocena známkou 6,5. Microsoft pro ni vydal 12. prosince opravu. Co se týče Windows Performance Analyseru, ten používají zpravidla vývojáři softwaru, nicméně Windows Explorer/Průzkumník souborů je součástí každé instalace Windows.
Existují dvě varianty útoku na Průzkumníka souborů, přičemž v obou případech útočník pošle cílovému uživateli škodlivý odkaz prostřednictvím e-mailu, sociálních sítí nebo jiných kanálů. Jakmile oběť na odkaz klikne, útočník může získat hash, a poté se pokusit prolomit heslo uživatele.
Jak tedy zachovat vlastní bezpečnost a zabránit útokům na Outlook?
Proti popsaným útokům, zneužívajícím protokol NTLM v2, se uživatelé mohou zabezpečit. Jednou z možností je použít podpis SMB, který pomáhá chránit provoz před manipulací a útoky. Všechny zprávy SMB jsou digitálně podepsány. Lze tedy ověřit, že data byla odeslána od legitimního zdroje a že nebyla v průběhu přenosu upravena. Pokud dojde k pokusu o manipulaci, příjemce může změnu odhalit a zprávu odmítnout.
Uživatelé také mohou odchozí ověřování NTLM zablokovat. Tato funkce byla uvedena na trh s Windows 11. A konečně: je možné vynutit ověřování Kerberos a blokovat NTLM v2 v síti a na příslušných úrovních.
Zdroj: Varonic, Security Week
video
