Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/critical-microsoft-outlook-bug-poc-shows-how-easy-it-is-to-exploit/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #poc #de #bug #crítico #do #microsoft #outlook #mostra #como #é #fácil #explorálo
Pesquisadores de segurança compartilharam detalhes técnicos para explorar uma vulnerabilidade crítica do Microsoft Outlook para Windows (CVE-2023-23397) que permite que hackers roubem remotamente senhas com hash simplesmente recebendo um e-mail.
A Microsoft lançou ontem um patch para a falha de segurança, mas foi explorado como uma vulnerabilidade de dia zero em ataques de retransmissão NTLM desde pelo menos meados de abril de 2022.
O problema é uma vulnerabilidade de escalonamento de privilégios com uma classificação de gravidade de 9,8 que afeta todas as versões do Microsoft Outlook no Windows.
Um invasor pode usá-lo para roubar credenciais NTLM simplesmente enviando ao alvo um e-mail malicioso. Nenhuma interação do usuário é necessária, pois a exploração ocorre quando o Outlook está aberto e o lembrete é acionado no sistema.
Exploração fácil
O Windows New Technology LAN Manager (NTLM) é um método de autenticação usado para fazer login em domínios do Windows usando credenciais de login com hash.
Embora a autenticação NTLM apresente riscos conhecidos, ela ainda é usada em novos sistemas para compatibilidade com sistemas mais antigos.
Ele funciona com hashes de senha que o servidor recebe de um cliente quando tenta acessar um recurso compartilhado, como compartilhamentos SMB. Se roubados, esses hashes podem ser usados para autenticação na rede.
A Microsoft explicou que um invasor pode usar CVE-2023-23397 para obter hashes NTLM enviando “uma mensagem com uma propriedade MAPI estendida com um caminho UNC para um compartilhamento SMB (TCP 445) em um servidor controlado por agente de ameaça”.
“A conexão com o servidor SMB remoto envia a mensagem de negociação NTLM do usuário, que o invasor pode retransmitir para autenticação em outros sistemas que oferecem suporte à autenticação NTLM” - Microsoft
No entanto, explorar o problema requer mais detalhes técnicos, que vieram logo depois que a Microsoft lançou a correção de pesquisadores da empresa de consultoria de segurança MDSec.
Depois de revisar um script da Microsoft que verifica os itens de mensagens do Exchange em busca de sinais de exploração usando CVE-2023-23397, o membro da equipe vermelha do MDSec, Dominic Chell, descobriu com que facilidade um agente de ameaça poderia aproveitar o bug.
Ele descobriu que o script poderia procurar a propriedade “PidLidReminderFileParameter” dentro dos itens de e-mail recebidos e removê-la quando presente.
Chell explica que essa propriedade permite que o remetente defina o nome do arquivo que o cliente Outlook deve reproduzir quando o lembrete da mensagem for acionado.
A razão pela qual isso foi possível permanece um quebra-cabeça que o pesquisador não conseguiu explicar, já que o remetente de um e-mail não deveria ser capaz de configurar o som para o alerta de nova mensagem no sistema do destinatário.
Chell observou que, se a propriedade aceitasse um nome de arquivo, também seria possível adicionar um caminho UNC para acionar a autenticação NTLM.
O pesquisador também descobriu que a propriedade PidLidReminderOverride poderia ser usada para fazer o Microsoft Outlook analisar um caminho UNC remoto e malicioso na propriedade PidLidReminderFileParameter.
Essas informações permitiram que o pesquisador criasse um e-mail malicioso do Outlook (.MSG) com um compromisso de calendário que acionaria a vulnerabilidade e enviaria os hashes NTLM do alvo para um servidor arbitrário.
Esses hashes NTLM roubados podem ser usados para executar ataques de retransmissão NTLM para acesso mais profundo a redes corporativas.
Roubo de hashes NTLM por meio de agendamento de calendário malicioso no Microsoft Outlookfonte: MDSec
Além dos compromissos do calendário, um invasor também pode usar tarefas, notas ou mensagens de e-mail do Microsoft Outlook para roubar os hashes.
Chell observa que o CVE-2023-23397 pode ser usado para acionar a autenticação para um endereço IP que esteja fora da zona confiável da intranet ou dos sites confiáveis.
O MDSec compartilhou um vídeo que mostra como a vulnerabilidade crítica corrigida recentemente no Microsoft Outlook pode ser explorada:
Dia zero para hackers russos
A vulnerabilidade foi encontrada e relatada à Microsoft pela Computer Emergency Response Team (CERT-UA) da Ucrânia, provavelmente depois de vê-la ser usada em ataques direcionados a seus serviços.
De acordo com a Microsoft, “um agente de ameaças baseado na Rússia” explorou a vulnerabilidade em ataques direcionados contra várias organizações europeias nos setores governamental, de transporte, energia e militar.
Acredita-se que o grupo de hackers por trás dos ataques seja o APT28 (também conhecido como Strontium, Fancy Bear, Sednit, Sofacy), um agente de ameaças que foi vinculado à Diretoria Principal do Estado-Maior das Forças Armadas da Federação Russa (GRU).
Acredita-se que até 15 organizações tenham sido atacadas ou violadas usando o CVE-2023-23397, o último ataque ocorrido em dezembro passado.
Depois de obter acesso, os hackers costumam usar as estruturas de código aberto Impacket e PowerShell Empire para estender seu controle e passar para sistemas mais valiosos na rede para coletar informações.
Os administradores são fortemente aconselhados a priorizar o patch CVE-2023-23397 e usar o script da Microsoft para verificar sinais de exploração, verificando se os itens de mensagens no Exchange vêm com um caminho UNC.
Postar um comentário