Falha no Microsoft Outlook pode ser explorada para acessar senhas com hash NTLM v2

microsoft-pode-oferecer-uma-das-primeiras-lojas-de-aplicativos-de-terceiros-em-iphones

Uma falha no Microsoft Outlook pode ser explorada para acessar senhas com hash NTLM v2, enganando os usuários para que abram um arquivo especialmente criado. A vulnerabilidade, rastreada como CVE-2023-35636 é um problema de divulgação de informações do Microsoft Outlook.

Falha no Microsoft Outlook

NTLMv2, que significa NT LAN Manager versão 2, é um protocolo de autenticação usado em redes Microsoft Windows. É uma melhoria em relação ao protocolo NTLM original e foi projetado para solucionar algumas de suas vulnerabilidades de segurança. Um invasor pode enganar as vítimas para que cliquem em um link que pode ser incluído em um e-mail ou mensagem instantânea e, em seguida, convencê-las a abrir o arquivo especialmente criado. Como alternativa, o arquivo malicioso pode ser hospedado em um site sob controle dos invasores.

A Microsoft corrige a falha CVE-2023-35636 (pontuação CVSS: 6,5) com o lançamento das atualizações de segurança do Patch Tuesday para dezembro de 2023.

Em um cenário de ataque por e-mail, um invasor pode explorar a vulnerabilidade enviando um arquivo especialmente criado ao usuário e convencendo-o a abrir o arquivo.

Em um cenário de ataque baseado na Web, um invasor pode hospedar um site (ou aproveitar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) contendo um arquivo especialmente criado para explorar a vulnerabilidade.

falha-no-microsoft-outlook-pode-ser-explorada-para-acessar-senhas-com-hash-ntlm-v2

A vulnerabilidade foi descoberta por Dolev Taler com Varonis, que também publicou uma análise técnica do problema. Taler explicou que o problema explora a função de compartilhamento de calendário do Microsoft Outlook. Criando uma mensagem especialmente criada adicionando dois cabeçalhos (“Content-Class” e “x-sharing-config-url”) é possível compartilhar conteúdo e entrar em contato com uma máquina designada para interceptar um hash NTLM v2.

Taler explicou que o problema também pode ser explorado com o Windows Performance Analyzer (WPA) e o Windows File Explorer. Os patches de segurança não abordam a potencial exploração desta falha no WPA e no Windows File Explorer.

Sugestões para proteger as organizações contra ataques NTLM v2

Abaixo estão algumas sugestões para proteger as organizações contra ataques NTLM v2:

  • O uso do recurso de assinatura SMB evita que o tráfego SMB seja adulterado e ataques man-in-the-middle. Funciona assinando digitalmente todas as mensagens SMB. Cada alteração nas mensagens SMB assinadas digitalmente pode ser detectada. A assinatura SMB está ativada no Windows Server 2022 e posterior por padrão, e na edição Windows 11 Enterprise (começando com a versão de visualização interna 25381).
  • Bloqueie o NTLM v2 de saída, começando com Windows 11 (25951). A Microsoft adicionou a opção de bloquear a autenticação NTLM de saída;
  • Force a autenticação Kerberos sempre que possível e bloqueie o NTLM v2 nos níveis de rede e de aplicativo.