Почему Microsoft только что исправила патч, устраняющий ошибку Outlook Under Attack • The Register

В марте Microsoft исправила интересную уязвимость в Outlook, которую злоумышленники использовали для утечки учетных данных Windows. На этой неделе ИТ-гигант выпустил это исправление в рамках своего ежемесячного обновления по вторникам.

Чтобы напомнить вам об исходной ошибке, она была отслежена как CVE-2023-23397: можно было отправить кому-нибудь напоминание по электронной почте с настраиваемым звуком уведомления. Это пользовательское аудио может быть указано как URL-адрес в электронном письме.

Если не тот человек тщательно создал почту с этим звуковым путем, установленным на удаленный SMB-сервер, тогда, когда Outlook получает сообщение и обрабатывает его, автоматически отслеживая путь к файловому серверу, он передает хэш Net-NTLMv2 пользователю, пытающемуся авторизоваться. Это фактически приведет к утечке хэша внешней стороне, которая потенциально может использовать учетные данные для доступа к другим ресурсам, таким как этот пользователь, что позволит хакерам исследовать внутренние сетевые системы, красть документы, выдавать себя за свою жертву и так далее.

Патч двухмесячной давности заставил Outlook использовать функциональность Windows. MapUrlToZone Чтобы проверить, куда действительно указывает звуковая дорожка уведомления, если она находится в сети, она будет проигнорирована и будет воспроизводиться звук по умолчанию. Это должно было предотвратить подключение клиента к удаленному серверу и утечку хэшей.

Оказывается, защиту на основе MapUrlToZone можно обойти, что побудило Microsoft вернуть исправление для нее в марте в мае. Первоначальная ошибка использовалась в дикой природе, поэтому, когда ее исправление было выпущено, она привлекла всеобщее внимание. Этот интерес помог выявить незавершенность реформы.

И если оставить его незавершенным, любой, кто злоупотребит исходной ошибкой, может использовать другую уязвимость, чтобы обойти исходный патч. Чтобы было ясно, дело не в том, что исправление CVE-2023-23397 не сработало — оно сработало — его было недостаточно, чтобы полностью закрыть дыру в пользовательском аудиофайле.

Эта уязвимость — еще один пример проверки исправлений, ведущей к новым уязвимостям и злоупотреблениям. Он сказал Бен Парниа из Akamai, который обнаружил и сообщил о переполнении MapUrlToZone.

Специально для этой уязвимости добавление одного символа позволяет обойти критический патч.

Важно отметить, что хотя первая ошибка была связана с Outlook, вторая проблема с MapUrlToZone связана с реализацией Microsoft этой функции в Windows API. Парния пишет, что это означает, что второй патч предназначен не для Outlook, а для базовой платформы MSHTML в Windows, и что эта ошибка затрагивает все версии операционной системы. Проблема заключается в том, что злонамеренно сгенерированный маршрут может быть передан в MapUrlToZone, чтобы функция определила, что маршрут не ведет к внешнему Интернету, хотя на самом деле он есть, когда приложение открывает маршрут.

По словам Барнеа, электронные письма могут содержать напоминание, включающее настраиваемый звук уведомления, указанный в виде пути с использованием свойства MAPI, расширенного с помощью PidLidReminderFileParameter.

«Злоумышленник может указать путь UNC, который заставит клиента получить аудиофайл с любого SMB-сервера», — пояснил он. В рамках подключения к удаленному серверу SMB хэш Net-NTLMv2 отправляется в сообщении согласования.

Этот сбой был достаточно серьезным, чтобы получить рейтинг серьезности CVSS 9,8 из 10, и к тому времени, когда в марте было выпущено исправление, команда, направлявшаяся в Россию, эксплуатировала его около года. Кибербанда использовала его в атаках на организации в европейских правительствах, а также на транспортные, энергетические и военные объекты.

Чтобы найти обход оригинального патча Microsoft, Барни хотел создать маршрут, который MapUrlToZone помечал бы как локальную, интранет-зону или доверенную зону — это означало, что Outlook мог бы безопасно следовать по нему — но при передаче в функцию CreateFile для его открытия он делал бы ОС идут на подключение к удаленному серверу.

В конце концов он обнаружил, что ублюдки могут изменить URL-адрес в напоминаниях, что заставило MapUrlToZone проверить, что удаленные пути рассматриваются как локальные пути. Это можно сделать одним нажатием клавиши, добавив второй «\» к пути универсального соглашения об именах (UNC).

«Злоумышленник, не прошедший проверку подлинности в Интернете, может использовать эту уязвимость, чтобы заставить клиент Outlook подключиться к серверу, контролируемому злоумышленником», — пишет Парния. «Это приводит к краже учетных данных NTLM. Это неактивная уязвимость, что означает, что она может работать без взаимодействия с пользователем».

Он добавил, что проблема, по-видимому, является «результатом сложной обработки путей в Windows… Мы считаем, что такая путаница может вызвать уязвимости в других программах, которые используют MapUrlToZone в пути, контролируемом пользователем, а затем используют файловую операцию. (например, CreateFile или аналогичные приложения API) по тому же пути».

Сбой, CVE-2023-29324У него 6,5 баллов по шкале CVSS. Майкрософт рекомендует организации Ремонт Как эта уязвимость — патч был выпущен в рамках вторника исправлений на этой неделе — так и предыдущая CVE-2023-23397.

Парниа написал, что надеется, что Microsoft удалит пользовательскую функцию звуковых напоминаний, заявив, что она представляет больше рисков для безопасности, чем какую-либо потенциальную ценность для пользователей.

«Это поверхность атаки для анализа мультимедиа без щелчка мыши, которая может содержать критические уязвимости, приводящие к повреждению памяти», — написал он. «Учитывая вездесущность Windows, устранение такой зрелой поверхности атаки может иметь очень положительные результаты». ®