Появились технические подробности о двух исправленных недостатках безопасности в Microsoft Windows, которые могут быть связаны злоумышленниками для обеспечения удаленного выполнения кода в почтовой службе Outlook без какого-либо взаимодействия с пользователем.
"Злоумышленник в Интернете может объединить уязвимости в цепочку, чтобы создать полноценный эксплойт удаленного выполнения кода с нулевым щелчком мыши (RCE) против клиентов Outlook", - сказал исследователь безопасности Akamai Бен Барни, который обнаружил уязвимости, в двухчастном отчете, опубликованном в Hacker News.
Ниже перечислены проблемы безопасности, которые были устранены Microsoft в августе и октябре 2023 года соответственно -
Ранее в этом месяце подразделение 42 Microsoft, Proofpoint и Palo Alto Networks сообщило, что российский злоумышленник, известный как APT29, активно использует эту ошибку для получения несанкционированного доступа к учетным записям жертв на серверах Exchange.
Стоит отметить, что CVE-2023-35384 также является вторым обходом исправлений после CVE-2023-29324, который также был обнаружен Barnea и впоследствии исправлен Redmond в рамках обновлений безопасности от мая 2023 года.
"Мы обнаружили еще один обход исходной уязвимости Outlook — обход, который снова позволил нам принудить клиента подключиться к серверу, контролируемому злоумышленником, и загрузить вредоносный звуковой файл", - сказал Барнеа.
CVE-2023-35384, как и CVE-2023-29324, основан на анализе пути с помощью функции MapUrlToZone, который может быть использован при отправке клиенту Outlook электронного письма, содержащего вредоносный файл или URL-адрес.
"Уязвимость обхода функции безопасности возникает, когда платформе MSHTML не удается проверить правильность зоны безопасности запросов для определенных URL-адресов. Это может позволить злоумышленнику заставить пользователя получить доступ к URL-адресу в менее ограниченной зоне безопасности Интернета, чем предполагалось ", - отметила Microsoft в своем сообщении.
При этом уязвимость может быть использована не только для утечки учетных данных NTLM, но также может быть связана с ошибкой синтаксического анализа звука (CVE-2023-36710) для загрузки пользовательского звукового файла, который при автоматическом воспроизведении с использованием функции звукового напоминания Outlook может привести к выполнению кода с нулевым щелчком мыши на компьютере жертвы.
CVE-2023-36710 воздействует на компонент Audio Compression Manager (ACM), устаревшую мультимедийную платформу Windows, которая используется для управления аудиокодеками, и является результатом уязвимости с переполнением целых чисел, возникающей при воспроизведении файла WAV.
"Наконец, нам удалось запустить уязвимость, используя кодек IMA ADP", - объяснил Барнеа. "Размер файла составляет примерно 1,8 ГБ. Выполнив операцию математического ограничения при вычислении, мы можем заключить, что минимально возможный размер файла с кодеком IMA ADP составляет 1 ГБ."
Для снижения рисков организациям рекомендуется использовать микросегментацию для блокирования исходящих подключений SMB к удаленным общедоступным IP-адресам. Кроме того, также рекомендуется либо отключить NTLM, либо добавлять пользователей в группу безопасности Protected Users, что предотвращает использование NTLM в качестве механизма аутентификации.
"Злоумышленник в Интернете может объединить уязвимости в цепочку, чтобы создать полноценный эксплойт удаленного выполнения кода с нулевым щелчком мыши (RCE) против клиентов Outlook", - сказал исследователь безопасности Akamai Бен Барни, который обнаружил уязвимости, в двухчастном отчете, опубликованном в Hacker News.
Ниже перечислены проблемы безопасности, которые были устранены Microsoft в августе и октябре 2023 года соответственно -
- CVE-2023-35384 (оценка CVSS: 5.4) - уязвимость обхода функции безопасности Windows для платформ HTML
- CVE-2023-36710 (оценка CVSS: 7,8) - уязвимость ядра Windows Media Foundation для удаленного выполнения кода
Ранее в этом месяце подразделение 42 Microsoft, Proofpoint и Palo Alto Networks сообщило, что российский злоумышленник, известный как APT29, активно использует эту ошибку для получения несанкционированного доступа к учетным записям жертв на серверах Exchange.
Стоит отметить, что CVE-2023-35384 также является вторым обходом исправлений после CVE-2023-29324, который также был обнаружен Barnea и впоследствии исправлен Redmond в рамках обновлений безопасности от мая 2023 года.
"Мы обнаружили еще один обход исходной уязвимости Outlook — обход, который снова позволил нам принудить клиента подключиться к серверу, контролируемому злоумышленником, и загрузить вредоносный звуковой файл", - сказал Барнеа.
CVE-2023-35384, как и CVE-2023-29324, основан на анализе пути с помощью функции MapUrlToZone, который может быть использован при отправке клиенту Outlook электронного письма, содержащего вредоносный файл или URL-адрес.
"Уязвимость обхода функции безопасности возникает, когда платформе MSHTML не удается проверить правильность зоны безопасности запросов для определенных URL-адресов. Это может позволить злоумышленнику заставить пользователя получить доступ к URL-адресу в менее ограниченной зоне безопасности Интернета, чем предполагалось ", - отметила Microsoft в своем сообщении.
При этом уязвимость может быть использована не только для утечки учетных данных NTLM, но также может быть связана с ошибкой синтаксического анализа звука (CVE-2023-36710) для загрузки пользовательского звукового файла, который при автоматическом воспроизведении с использованием функции звукового напоминания Outlook может привести к выполнению кода с нулевым щелчком мыши на компьютере жертвы.
CVE-2023-36710 воздействует на компонент Audio Compression Manager (ACM), устаревшую мультимедийную платформу Windows, которая используется для управления аудиокодеками, и является результатом уязвимости с переполнением целых чисел, возникающей при воспроизведении файла WAV.
"Наконец, нам удалось запустить уязвимость, используя кодек IMA ADP", - объяснил Барнеа. "Размер файла составляет примерно 1,8 ГБ. Выполнив операцию математического ограничения при вычислении, мы можем заключить, что минимально возможный размер файла с кодеком IMA ADP составляет 1 ГБ."
Для снижения рисков организациям рекомендуется использовать микросегментацию для блокирования исходящих подключений SMB к удаленным общедоступным IP-адресам. Кроме того, также рекомендуется либо отключить NTLM, либо добавлять пользователей в группу безопасности Protected Users, что предотвращает использование NTLM в качестве механизма аутентификации.
