Недавно исправленная уязвимость в Microsoft Outlook (CVE-2023-35636), которая может быть использована злоумышленниками для кражи хэшей NTLM v2 пользователей, может быть использована путем добавления двух заголовков в письмо, содержащее специально созданный файл, сообщил исследователь безопасности Долев Талер.
Он и его коллеги из Varonis Threat Labs выявили еще два способа, с помощью которых злоумышленники могут получить хэши NTLM v2 пользователей и использовать их для автономного брутфорса или ретрансляционных атак аутентификации.
В то время как CVE-2023-35636 была исправлена, две другие уязвимости, по мнению Microsoft имеют «умеренную» серьезность и остаются непропатченными.
Как злоумышленники могут (неправильно) использовать украденные хэши NTLM v2?
NTLM v2 – самая последняя итерация криптографического протокола NTLM – используется в Microsoft Windows для аутентификации пользователей на удаленных серверах с помощью хэшей паролей.
Скомпрометированные хэши паролей NTLM v2 могут использоваться в атаках ретрансляции аутентификации или могут быть перебиты (в автономном режиме, на машине злоумышленника), чтобы раскрыть хэшированный пароль.
В обоих случаях угрожающий субъект может аутентифицироваться как пользователь и получить доступ к важным корпоративным системам и ресурсам.
«При атаках с использованием ретрансляции аутентификации запросы пользователя на аутентификацию NTLM v2 перехватываются и перенаправляются на другой сервер Затем машина жертвы отправляет ответ на аутентификацию на сервер злоумышленника, и тот может использовать эту информацию для аутентификации на предполагаемом сервере жертвы»
- объясняет Талер
Три способа получения хэшей NTLM v2
Исследователи компании Varonis обнаружили, что хэши NTLM v2 можно тайно вынести:
- Используя уязвимости в Microsoft Outlook
- Используя обработчики URI (т. е. обработчики протоколов) и WPA (Windows Performance Analyzer инструмент используемый разработчиками ПО)
- Используя Windows File Explorer
Они поделились эксплойтами для всех трех путей атаки и отметили, что во всех трех сценариях атаки жертве достаточно один или два раза щелкнуть по ссылке или кнопке.
Уязвимость Outlook, в частности, легко эксплуатировать, воспользовавшись возможностью совместного использования календарей пользователями.
«Злоумышленник создает приглашение по электронной почте для жертвы, указывая путь к файлу „.ICS“ на контролируемую злоумышленником машину. Прослушивая» контролируемый путь (домен, IP, путь к папке, UNC и т. д.), агент угрозы может получить пакеты попыток подключения, содержащие хэш, использованный для попытки доступа к этому ресурсу. Если жертва нажмет на кнопку «Открыть этот iCal» в сообщении, ее компьютер попытается получить файл конфигурации на машине злоумышленника, раскрывая NTLM-хэш жертвы при аутентификации.»
- отмечает Талер
Как уберечь хэши NTLM v2 от злоумышленников
Как отмечалось ранее, уязвимость Outlook была устранена Microsoft в декабре 2023 года, но две оставшиеся все еще существуют.
«Не обновленные системы остаются уязвимыми для угроз, пытающихся украсть хэшированные пароли с помощью этих методов»
- говорит Талер
Microsoft недавно предприняла усилия по сокращению использования NTLM и планирует полностью отключить его в Windows 11
Тем временем организации могут защитить себя от атак NTLM v2 несколькими способами, добавил Талер: включением подписи SMB (если она еще не включена по умолчанию), блокированием исходящей аутентификации NTLM v2, принудительной аутентификацией, когда это возможно, и блокированием NTLM v2 как на сетевом, так и на прикладном уровне.
Комментарии (0)