قامت Microsoft بإصلاح ثغرة أمنية مثيرة للاهتمام في Outlook في مارس والتي استخدمها المجرمون لتسريب بيانات اعتماد Windows الخاصة بالضحايا. قام عملاق تكنولوجيا المعلومات هذا الأسبوع بإصلاحه كجزء من التحديث الشهري يوم الثلاثاء التصحيح.
تم التتبع لتذكيرك بالخطأ الأصلي CVE-2023-23397: يمكنه إرسال بريد إلكتروني إلى شخص ما يتضمن تذكيرًا بصوت إشعار مخصص. يمكن تحديد هذا الصوت المخصص كمسار URL في البريد الإلكتروني.
إذا تم تصميم بريد إلكتروني ضار بعناية مع تعيين مسار صوتي لخادم SMB بعيد ، فعندما يلتقط Outlook الرسالة ويعالجها ، فإنه يتبع تلقائيًا المسار إلى خادم الملفات ، ويسلم تجزئة Net-NTLMv2 للمستخدم في محاولة واحدة. تسجيل الدخول. يؤدي هذا إلى تسريب التجزئة بشكل فعال إلى طرف خارجي ، يمكنه استخدام بيانات الاعتماد للوصول إلى موارد أخرى مثل هذا المستخدم ، مما يسمح للمتطفلين بفحص أنظمة الشبكة الداخلية ، وسرقة المستندات ، وانتحال شخصية ضحيتهم ، والمزيد.
تصحيح من شهرين استخدم Outlook كوظيفة Windows MapUrlToZone لفحص المكان الذي يشير إليه مسار صوت الإعلام بالفعل ، إذا كان على الإنترنت ، فسيتم تجاهله وسيعمل الصوت الافتراضي. كان من المفترض أن يؤدي ذلك إلى منع العميل من الاتصال بالخادم البعيد وتسريب التجزئة.
اتضح أن هذا الأمان المستند إلى MapUrlToZone يمكن تجاوزه ، مما دفع Microsoft إلى زيادة إصلاحها في مارس في مايو. تم استغلال الخطأ الأصلي في البرية ، لذلك عندما هبط التصحيح ، لفت انتباه الجميع. ساعد هذا التركيز في الكشف عن أن الإصلاح كان غير مكتمل.
إذا كان غير مكتمل ، يمكن لمن يستغل الخطأ الأصلي استخدام ثغرات أمنية أخرى للالتفاف على التصحيح الأصلي. للتوضيح ، لم ينجح إصلاح CVE-2023-23397 – لقد نجح – لم يكن كافيًا لإغلاق ثقب ملف الصوت المخصص تمامًا.
“هذه الثغرة الأمنية هي مثال آخر على الاستكشاف المرقّع الذي يؤدي إلى نقاط ضعف وتجاوزات جديدة.” قال اكتشف Agamain Ben Barnia وأبلغ عن تجاوز MapUrlToZone.
“خاصة بالنسبة لهذه الثغرة الأمنية ، إضافة دور يسمح بتجاوز رقعة حرجة.”
في الأساس ، بينما كان الخطأ الأول في Outlook ، فإن المشكلة الثانية في MapUrlToZone تتعلق بتنفيذ Microsoft لهذه الوظيفة في Windows API. كتب بارنيا أن هذا يعني أن التصحيح الثاني ليس مخصصًا لبرنامج Outlook ، ولكن لمنصة MSHTML على نظام التشغيل Windows ، وأن جميع إصدارات نظام التشغيل تتأثر بهذا الخطأ. تكمن المشكلة في أنه يمكن تمرير مسار تم إنشاؤه بشكل ضار إلى MapUrlToZone ، مما يتسبب في أن تحدد الوظيفة أن المسار إلى الإنترنت الخارجي غير موجود عندما يأتي التطبيق لفتح المسار.
وفقًا لـ Barnea ، يمكن أن تحتوي رسائل البريد الإلكتروني على تذكير يتضمن صوت إشعار مخصص محدد كمسار باستخدام سمة PidLidReminderFileParameter الموسعة MAPI.
وأوضح “يمكن للمهاجم تحديد مسار UNC ، والذي يمكن للعميل استرداد ملف الصوت من أي خادم SMB”. “كجزء من اتصال بخادم SMB بعيد ، يتم إرسال تجزئة Net-NTLMv2 في رسالة تفاوض.”
كان هذا الخلل كافياً للحصول على تصنيف شدة CVSS من 9.8 من أصل 10 واستغلت المجموعات المرتبطة بروسيا لمدة عام تقريبًا بحلول الوقت الذي تم فيه إصدار التصحيح في مارس. استخدمته العصابات الإلكترونية في هجمات ضد الحكومات والمنظمات الأوروبية في مجالات النقل والطاقة والمجالات العسكرية.
للعثور على تجاوز للتصحيح الأصلي من Microsoft ، أراد Barnia من MapUrlToZone إنشاء مسار تسميه كمنطقة محلية أو إنترانت أو موثوقة – مما يعني أن Outlook يمكنه متابعته بأمان – ولكن عند فتحه على وظيفة CreateFile ، فإنه ينشئ نظام التشغيل. الاتصال بالخادم البعيد.
في النهاية ، وجد أنه يمكنه تغيير عنوان URL في رسائل التذكير ، مما خدع فريق MapUrlToZone في رؤيتها كمسارات بعيدة. يمكن القيام بذلك بضغطة مفتاح واحدة عن طريق إضافة “\” ثانية إلى مسار اصطلاح التسمية العالمي (UNC).
كتب بارنيا: “قد يستخدم مهاجم غير مصادق على الإنترنت الثغرة الأمنية لإجبار عميل Outlook على الاتصال بخادم يتحكم فيه المهاجم”. “ينتج عن هذا سرقة بيانات اعتماد NTLM. هذه ثغرة أمنية لا يتم النقر عليها ، مما يعني أنه يمكن تشغيلها دون تدخل المستخدم.”
“يبدو أن هذه المشكلة ناتجة عن معالجة معقدة للمسارات في Windows. … نعتقد أن هذا النوع من الارتباك قد يتسبب في حدوث ثغرات أمنية في البرامج الأخرى التي تستخدم MapUrlToZone على مسار يتحكم فيه المستخدم (مثل CreateFile أو واجهة برمجة تطبيقات مماثلة على نفس المسار . “
نقص، CVE-2023-29324، لديه درجة خطورة CVSS تبلغ 6.5. توصي Microsoft الشركات نعم كل من هذه الثغرة الأمنية – تم إصدار تصحيح هذا الأسبوع كجزء من يوم الثلاثاء التصحيح – بالإضافة إلى CVE-2023-23397 السابق.
كتب بارنيا أنه يأمل أن تزيل Microsoft ميزة صوت التذكير المخصصة ، قائلة إنها تشكل مخاطر أمنية أكثر من القيمة المحتملة للمستخدمين.
وكتب “هذا هو سطح هجوم يحلل الوسائط بدون نقرة والذي قد يحتوي على ثغرات أمنية خطيرة تتعلق بفساد الذاكرة”. “نظرًا لمدى انتشار نظام Windows في كل مكان ، فإن القضاء على سطح هجوم على الرغم من نضجه قد يكون له بعض التأثيرات الإيجابية.” ®
“مهووس البيرة. النينجا الشرير لثقافة البوب. عالم القهوة في الحياة. مدرس محترف للإنترنت. مدرس اللحوم.”