Dlaczego firma Microsoft właśnie załatała poprawkę, która zniwelowała błąd ataku programu Outlook • The Register

W marcu Microsoft naprawił interesującą lukę w Outlooku, którą złoczyńcy wykorzystywali do wycieku poświadczeń systemu Windows ofiar. W tym tygodniu gigant IT wprowadził tę poprawkę w ramach comiesięcznej wtorkowej aktualizacji.

Aby przypomnieć o pierwotnym błędzie, został on wyśledzony jako CVE-2023-23397: Można było wysłać do kogoś wiadomość e-mail z przypomnieniem z niestandardowym dźwiękiem powiadomienia. Ten niestandardowy dźwięk można określić jako ścieżkę adresu URL w wiadomości e-mail.

Jeśli niewłaściwa osoba starannie przygotowała wiadomość ze ścieżką audio ustawioną na zdalny serwer SMB, to kiedy Outlook pobierze wiadomość i przetworzy ją, automatycznie śledząc ścieżkę do serwera plików, przekaże hash Net-NTLMv2 użytkownikowi próbującemu Zaloguj sie. Spowoduje to skuteczny wyciek haszu do strony zewnętrznej, która może potencjalnie wykorzystać dane uwierzytelniające do uzyskania dostępu do innych zasobów, takich jak ten użytkownik, umożliwiając hakerom eksplorację wewnętrznych systemów sieciowych, kradzież dokumentów, podszywanie się pod ofiarę i tak dalej.

Łatka sprzed dwóch miesięcy sprawiła, że ​​Outlook korzystał z funkcjonalności systemu Windows MapUrlDoStrefy Aby sprawdzić, gdzie naprawdę wskazuje ścieżka dźwiękowa powiadomienia, jeśli jest online, zostanie ona zignorowana i odtworzony zostanie dźwięk domyślny. Powinno to uniemożliwić klientowi łączenie się ze zdalnym serwerem i wyciekanie skrótów.

Okazuje się, że ochronę opartą na MapUrlToZone można ominąć, co skłoniło Microsoft do poparcia poprawki w marcu w maju. Pierwotny błąd był wykorzystywany w środowisku naturalnym, więc kiedy pojawiła się jego łatka, zwrócił na siebie uwagę wszystkich. Zainteresowanie to pomogło ujawnić, że reforma była niekompletna.

A jeśli pozostanie niekompletny, każdy, kto nadużyje oryginalnego błędu, może wykorzystać drugą lukę, aby obejść oryginalną łatkę. Żeby było jasne, to nie jest tak, że poprawka CVE-2023-23397 nie zadziałała – zadziałała – nie wystarczyła do całkowitego zamknięcia dziury w niestandardowym pliku audio.

Ta luka jest kolejnym przykładem sprawdzania poprawek, które prowadzi do nowych luk i nadużyć. Powiedział Ben Parnia z Akamai, który zauważył i zgłosił przepełnienie MapUrlToZone.

W przypadku tej luki dodanie pojedynczego znaku umożliwia ominięcie krytycznej poprawki.

Co najważniejsze, podczas gdy pierwszy błąd dotyczył Outlooka, ten drugi problem z MapUrlToZone polega na implementacji tej funkcjonalności przez Microsoft w Windows API. Parnia pisze, że oznacza to, że druga łatka nie jest przeznaczona dla programu Outlook, ale dla bazowej platformy MSHTML w systemie Windows i że ten błąd dotyczy wszystkich wersji systemu operacyjnego. Problem polega na tym, że złośliwie wygenerowana trasa może zostać przekazana do MapUrlToZone, dzięki czemu funkcja określi, że trasa nie prowadzi do zewnętrznego Internetu, podczas gdy w rzeczywistości jest ona otwierana przez aplikację.

Według Barnei e-maile mogą zawierać przypomnienie, które zawiera niestandardowy dźwięk powiadomienia określony jako ścieżka za pomocą właściwości MAPI rozszerzonej za pomocą PidLidReminderFileParameter.

„Atakujący może określić ścieżkę UNC, która spowoduje, że klient pobierze plik audio z dowolnego serwera SMB” — wyjaśnił. W ramach połączenia ze zdalnym serwerem SMB w wiadomości negocjacyjnej wysyłany jest skrót Net-NTLMv2.

Ta usterka była na tyle poważna, że ​​uzyskała ocenę ważności CVSS na poziomie 9,8 na 10 i była wykorzystywana przez ekipę udającą się do Rosji przez około rok, zanim poprawka została opublikowana w marcu. Cybergan używał go w atakach na organizacje w rządach europejskich, a także w przestrzenie transportowe, energetyczne i wojskowe.

Aby znaleźć obejście oryginalnej poprawki Microsoftu, Barnea chciał stworzyć trasę, którą MapUrlToZone oznaczy jako strefę lokalną, intranetową lub zaufaną — co oznacza, że ​​Outlook będzie mógł bezpiecznie nią podążać — ale po przekazaniu jej do funkcji CreateFile w celu jej otwarcia spowoduje, że OS przejdź do połączenia ze zdalnym serwerem.

W końcu odkrył, że dranie mogą zmienić adres URL w przypomnieniach, co skłoniło MapUrlToZone do sprawdzenia, czy zdalne ścieżki są postrzegane jako ścieżki lokalne. Można to zrobić za pomocą jednego naciśnięcia klawisza, dodając drugi „\” do ścieżki Universal Naming Convention (UNC).

„Nieuwierzytelniony atakujący w Internecie może wykorzystać tę lukę, aby zmusić klienta programu Outlook do połączenia się z serwerem kontrolowanym przez atakującego” – napisał Parnia. „Powoduje to kradzież poświadczeń NTLM. Jest to luka, której nie można kliknąć, co oznacza, że ​​może działać bez interakcji użytkownika”.

Dodał, że problem wydaje się być „wynikiem skomplikowanej obsługi ścieżek w systemie Windows. … Uważamy, że tego rodzaju zamieszanie może powodować luki w innych programach, które używają MapUrlToZone w ścieżce kontrolowanej przez użytkownika, a następnie używają operacji na plikach (takich jak CreateFile lub podobne aplikacje API) na tej samej ścieżce.”

usterka, CVE-2023-29324Ma ocenę ciężkości CVSS 6,5. Firma Microsoft zaleca organizacje Naprawa Zarówno ta luka – łatka została wydana w ramach Patch Tuesday w tym tygodniu – jak i poprzednia luka CVE-2023-23397.

Parnia napisał, że ma nadzieję, że Microsoft usunie niestandardową funkcję dźwięku przypomnienia, twierdząc, że stwarza ona większe zagrożenie dla bezpieczeństwa niż jakakolwiek potencjalna wartość dla użytkowników.

„To powierzchnia ataku do analizy multimediów bez kliknięcia, która może zawierać krytyczne luki w zabezpieczeniach związane z uszkodzeniem pamięci” – napisał. „Biorąc pod uwagę wszechobecność systemu Windows, wyeliminowanie tak dojrzałej powierzchni ataku może mieć bardzo pozytywne skutki”. ®