V marci spoločnosť Microsoft opravila zaujímavú zraniteľnosť v programe Outlook, ktorú podvodníci zneužili na únik poverení pre Windows obetí. Tento týždeň IT gigant zaviedol túto opravu ako súčasť svojej mesačnej utorkovej aktualizácie.

Aby sme vám pripomenuli pôvodnú chybu, bola sledovaná ako CVE-2023-23397: Niekomu bolo možné poslať e-mail s pripomienkou s vlastným zvukom upozornenia. Tento vlastný zvuk možno zadať ako cestu URL v e-maile.

Ak nesprávna osoba starostlivo vytvorila poštu s touto zvukovou cestou nastavenou na vzdialený server SMB, potom keď Outlook načíta správu a spracuje ju, pričom automaticky sleduje cestu k súborovému serveru, odovzdá používateľovi, ktorý sa pokúša Prihlásiť sa. Takto efektívne prenikne hash externej strane, ktorá by mohla potenciálne použiť poverenia na prístup k iným zdrojom, ako je tento používateľ, čo hackerom umožní preskúmať interné sieťové systémy, kradnúť dokumenty, vydávať sa za svoju obeť atď.

Oprava spred dvoch mesiacov umožnila Outlook používať funkcie systému Windows MapUrlToZone Ak chcete skontrolovať, kam zvuková stopa upozornenia skutočne smeruje, ak je online, bude ignorovaná a prehrá sa predvolený zvuk. To malo zabrániť klientovi v pripojení k vzdialenému serveru a úniku hash.

Ukázalo sa, že ochranu založenú na MapUrlToZone je možné obísť, čo prinútilo spoločnosť Microsoft, aby v marci v máji podporila opravu. Pôvodná chyba bola využívaná vo voľnej prírode, a tak keď jej náplasť pristála, upútala pozornosť všetkých. Tento záujem pomohol odhaliť, že reforma nebola dokončená.

A ak zostane neúplný, každý, kto zneužije pôvodnú chybu, môže použiť ďalšiu zraniteľnosť na obídenie pôvodnej opravy. Aby bolo jasné, nie je to tak, že oprava CVE-2023-23397 nefungovala – áno – nestačila na úplné zatvorenie otvoru pre vlastný zvukový súbor.

Táto zraniteľnosť je ďalším príkladom kontroly záplat, ktorá vedie k novým zraniteľnostiam a zneužitiam. Povedal Ben Parnia z Akamai, ktorý si všimol a nahlásil pretečenie MapUrlToZone.

Špeciálne pre túto zraniteľnosť umožňuje pridanie jedného znaku obísť kritickú opravu.

Rozhodujúce je, že zatiaľ čo prvá chyba bola v programe Outlook, tento druhý problém s MapUrlToZone spočíva v implementácii tejto funkcie spoločnosťou Microsoft do rozhrania Windows API. Parnia píše, že to znamená, že druhá oprava nie je pre Outlook, ale pre základnú platformu MSHTML vo Windows a že táto chyba postihuje všetky verzie operačného systému. Problém je v tom, že škodlivo vygenerovaná trasa môže byť odovzdaná MapUrlToZone, takže funkcia určí, že trasa nie je na externý internet, keď v skutočnosti je, keď aplikácia otvorí trasu.

Podľa Barnea môžu e-maily obsahovať pripomenutie, ktoré obsahuje vlastný zvuk upozornenia špecifikovaný ako cesta pomocou vlastnosti MAPI rozšírenej pomocou PidLidReminderFileParameter.

„Útočník by mohol zadať cestu UNC, ktorá by klientovi spôsobila načítanie zvukového súboru z ľubovoľného servera SMB,“ vysvetlil. Ako súčasť pripojenia k vzdialenému serveru SMB sa vo vyjednávacej správe odošle hash Net-NTLMv2.

Táto chyba bola dostatočne zlá na to, aby získala hodnotenie závažnosti CVSS 9,8 z 10 a bola využívaná posádkou smerujúcou do Ruska asi rok, kým bola v marci vydaná oprava. Kybernetický gang ho použil pri útokoch proti organizáciám európskych vlád, ako aj dopravným, energetickým a vojenským priestorom.

Aby našiel obídenie pôvodnej opravy od Microsoftu, Barnea chcel vytvoriť trasu, ktorú by MapUrlToZone označila ako miestnu, intranetovú alebo dôveryhodnú zónu – čo znamená, že Outlook by ju mohol bezpečne sledovať – ale po odovzdaní funkcii CreateFile na jej otvorenie by OS prejdite na pripojenie k vzdialenému serveru.

Nakoniec zistil, že tí bastardi môžu zmeniť adresu URL v pripomienkach, čo oklamalo MapUrlToZone, aby skontroloval, či sa vzdialené cesty považujú za lokálne cesty. Dá sa to urobiť jediným stlačením klávesu, pridaním druhého „\“ k ceste Universal Naming Convention (UNC).

„Neoverený útočník na internete by mohol zneužiť túto chybu na to, aby prinútil klienta Outlook pripojiť sa k serveru kontrolovanému útočníkom,“ napísal Parnia. „To má za následok odcudzenie poverení NTLM. Ide o zraniteľnosť, na ktorú sa nedá kliknúť, čo znamená, že môže bežať bez interakcie používateľa.“

Dodal, že problém sa javí ako „výsledok zložitého spracovania ciest v systéme Windows. … Veríme, že tento druh zmätku môže spôsobiť zraniteľnosť v iných programoch, ktoré používajú MapUrlToZone v používateľsky riadenej ceste a potom používajú operáciu so súbormi (napríklad CreateFile alebo aplikácie podobné API) na rovnakej ceste.“

Závada, CVE-2023-29324Má skóre závažnosti CVSS 6,5. Spoločnosť Microsoft odporúča organizácie Oprava Táto chyba zabezpečenia – oprava bola vydaná ako súčasť Patch Tuesday tento týždeň – ako aj predchádzajúca CVE-2023-23397.

Parnia napísal, že dúfa, že Microsoft odstráni funkciu vlastného pripomenutia, pričom uviedol, že predstavuje viac bezpečnostných rizík než akákoľvek potenciálna hodnota pre používateľov.

„Ide o útočný povrch bez kliknutia na analýzu médií, ktorý môže obsahovať kritické zraniteľné miesta proti poškodeniu pamäte,“ napísal. „Vzhľadom na to, aký je systém Windows všadeprítomný, eliminácia tak vyspelého útočného povrchu by mohla mať veľmi pozitívne účinky.“ ®