Нажал на ссылку - потерял пароль: NTLM-хэши стали новой добычей хакеров

Устраненная уязвимость безопасности в Microsoft Outlook может быть использована злоумышленниками для доступа к хешированным паролям NT LAN Manager (NTLM) v2 при открытии специально созданного файла.

NTLM v2 — это протокол, используемый для аутентификации пользователей на удалённых серверах. Хэш пароля пользователя NTLM v2 может быть ценным для злоумышленников, поскольку они могут либо запустить атаку методом перебора и получить пароль в виде открытого текста, либо использовать хэш для аутентификации напрямую.

Проблема, отслеживаемая как CVE-2023-35636 (оценка CVSS: 6.5), была устранена Microsoft в рамках внеплановых обновлений безопасности в декабре 2023 года. Согласно заявлению Microsoft, недостаток работает следующим образом:

• в сценарии атаки по электронной почте киберпреступник может воспользоваться уязвимостью, отправив пользователю специально созданный файл и убедив его открыть файл;
• в сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать взломанный веб-сайт, который принимает или размещает предоставленный пользователем контент), содержащий специально созданный файл, предназначенный для использования уязвимости.

Иными словами, атакующему нужно убедить жертву перейти по ссылке, встроенной в фишинговое электронное письмо или отправленной через сообщение, а затем обманом заставить её открыть соответствующий файл.

CVE-2023-35636 затрагивает функцию общего доступа к календарю в Outlook, в которой вредоносное электронное письмо создается путем вставки двух заголовков «Content-Class» и «x-sharing-config-url» со ​​специально созданными значениями по порядку, чтобы раскрыть NTLM-хэш жертвы во время аутентификации. Письмо заставляет Outlook подключиться к серверу хакера и передать ему хэш NTLM v2 для аутентификации.

Исследователь безопасности Varonis Долев Талер, которому приписывают обнаружение и сообщение об ошибке, сказал, что утечка хэшей NTLM может произойти при использовании анализатора производительности Windows (Windows Performance Analyzer, WPA) и проводника Windows. Однако эти два метода атаки остались без исправлений.

Талер отметил, что WPA пытается аутентифицироваться с использованием NTLM v2 через открытую сеть. Обычно NTLM v2 следует использовать при попытке аутентификации во внутренних службах на основе IP-адреса. Однако, когда хэш NTLM v2 проходит через открытый Интернет, он уязвим для атак ретрансляции и автономных атак методом перебора.

Данный инцидент служит напоминанием как для частных лиц, так и для организаций о необходимости оставаться бдительными, регулярно обновлять ПО и быть осторожными с подозрительными электронными письмами и файлами. Ситуация также подчеркивает необходимость наличия надежных протоколов безопасности и постоянного мониторинга систем для своевременного обнаружения и устранения подобных уязвимостей.