Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Безопасность личной и корпоративной почты Microsoft исправил уязвимость в Outlook только наполовину


Уязвимость CVE-2018-0950 в почтовом клиенте Microsoft Outlook была обнаружена Уиллом Дорманом (Will Dormann) из Координационного центра CERT. Суть уязвимости заключается в том, что объекты OLE в электронных письмах в формате RTF (Rich Text Format) обрабатываются этим почтовым клиентом автоматически, без запроса разрешения на действие у пользователя. Другие приложение Microsoft из семейства Office – Word, Excel, PowerPoint разрешение в таких случаях у пользователя запрашивают.

Эксплуатируя уязвимость исследователю удалось похитить хэши NTLM-паролей атакуемых пользователей. Получив письмо с вредоносным объектом OLE в Outlook атакованная ОС Windows автоматически попыталась авторизоваться на указанном исследователем сервере, отправив NTLM-хэш пользователя. Потенциальному взломщику остаётся лишь расшифровать NTLM-хэш чтобы получить доступ к почте, домену Active Directory и прочим сервисам на базе Microsoft Windows.

Уязвимость была обнаружена исследователем ещё в 2016 году и лишь спустя 18 месяцев производитель решил выпустить исправление. Однако, как оказалось исправление не устраняет основную проблему, а лишь производит блокировку SMB-подключения почтовым клиентом Outlook в процессе предпросмотра email формата RTF. Разрешения пользователя на обработку OLE-объектов Outlook по-прежнему не запрашивает. Следовательно, возможно продолжение эксплуатации уязвимости путём указания в письмах UNC-ссылок на ложные SMB-серверы — такие ссылки Outlook автоматически форматирует как кликабельные и при нажатии на неё NTLM-хэш пользователя опять же будет отправлен на сторонний сервер.

Так Microsoft в очередной рад показал, что спасение утопающих дело рук самих утопающих. Чтобы не стать жертвой уязвимости даже после установки патча, пользователям Outlook рекомендуется:

  • ограничить межсетевых экраном SMB-соединения пределами корпоративной сети;
  • отключить авторизацию NTLM SSO (Single Sign-on);
  • использовать длинные и надёжные пароли, чтобы максимально усложнить их взлом перебором хэша NTLM;

Хостинг-провайдер Tendence.ru рекомендует использовать свободно распространяемый Mozilla Thunderbird в качестве надёжного и безопасного клиента корпоративной электронной почты.


В избранное