.
Em março, a Microsoft corrigiu uma falha de segurança interessante no Outlook que foi explorada por criminosos para vazar as credenciais do Windows das vítimas. Esta semana, a gigante de TI corrigiu essa correção como parte de sua atualização mensal do Patch Tuesday.
Para lembrá-lo do bug original, rastreado como CVE-2023-23397: era possível enviar a alguém um e-mail que incluía um lembrete com um som de notificação personalizado. Esse som personalizado pode ser especificado como um caminho de URL no e-mail.
Se um criminoso criasse cuidadosamente um e-mail com esse caminho de som definido para um servidor SMB remoto, quando o Outlook buscasse e processasse a mensagem e seguisse automaticamente o caminho para o servidor de arquivos, ele entregaria o hash Net-NTLMv2 do usuário em uma tentativa de Isso vazaria efetivamente o hash para uma parte externa, que poderia usar a credencial para acessar outros recursos como esse usuário, permitindo que o intruso explorasse sistemas de rede interna, roubasse documentos, personificasse sua vítima e assim por diante.
O patch de alguns meses atrás fez o Outlook usar a função do Windows MapUrlToZone para inspecionar onde um caminho de som de notificação estava realmente apontando e, se fosse para a Internet, seria ignorado e o som padrão seria reproduzido. Isso deveria ter impedido o cliente de se conectar a um servidor remoto e vazar hashes.
Descobriu-se que essa proteção baseada em MapUrlToZone poderia ser ignorada, levando a Microsoft a ter que reforçar é março correção em maio. O bug original estava sendo explorado na natureza e, portanto, quando o patch chegou, chamou a atenção de todos. E essa atenção ajudou a revelar que a correção estava incompleta.
E se fosse deixado incompleto, quem estivesse abusando do bug original poderia usar a outra vulnerabilidade para contornar o patch original. Portanto, para ser claro, não é que a correção para CVE-2023-23397 não funcionou – funcionou – apenas não foi suficiente para fechar totalmente o buraco do arquivo de som personalizado.
“Esta vulnerabilidade é mais um exemplo de escrutínio de patch que leva a novas vulnerabilidades e desvios,” disse Ben Barnea, da Akamai, que localizou e relatou o desvio de MapUrlToZone.
“Especificamente para esta vulnerabilidade, a adição de um personagem permite um desvio crítico de patch.”
Crucialmente, enquanto o primeiro bug estava no Outlook, este segundo problema com MapUrlToZone está na implementação dessa função pela Microsoft na API do Windows. Isso significa que o segundo patch não é para o Outlook, mas para a plataforma MSHTML subjacente no Windows, e todas as versões do sistema operacional são afetadas por esse bug, escreveu Barnea. O problema é que um caminho construído de forma maliciosa pode ser passado para o MapUrlToZone para que a função determine que o caminho não é para a internet externa quando na verdade é quando o aplicativo vem abrir o caminho.
De acordo com Barnea, os e-mails podem conter um lembrete que inclui um som de notificação personalizado especificado como um caminho usando uma propriedade MAPI estendida usando PidLidReminderFileParameter.
“Um invasor pode especificar um caminho UNC que faria com que o cliente recuperasse o arquivo de som de qualquer servidor SMB”, explicou. “Como parte da conexão com o servidor SMB remoto, o hash Net-NTLMv2 é enviado em uma mensagem de negociação.”
Essa falha foi ruim o suficiente para obter uma classificação de gravidade do CVSS de 9,8 em 10 e foi explorada por uma equipe ligada à Rússia por cerca de um ano quando a correção foi lançada em março. A gangue cibernética o usou em ataques contra organizações em governos europeus, bem como transporte, energia e espaços militares.
Para encontrar um desvio para o patch original da Microsoft, Barnea queria criar um caminho que MapUrlToZone rotularia como local, intranet ou uma zona confiável – o que significa que o Outlook poderia segui-lo com segurança – mas, quando passado para a função CreateFile para abrir, tornaria o sistema operacional vá se conectar a um servidor remoto.
Eventualmente, ele descobriu que os malfeitores podiam alterar o URL em mensagens de lembrete, o que enganava as verificações do MapUrlToZone para ver os caminhos remotos como locais. E isso pode ser feito com um único pressionamento de tecla, adicionando um segundo ” ao caminho da convenção de nomenclatura universal (UNC).
“Um invasor não autenticado na Internet pode usar a vulnerabilidade para coagir um cliente Outlook a se conectar a um servidor controlado pelo invasor”, escreveu Barnea. “Isso resulta em roubo de credenciais NTLM. É uma vulnerabilidade de clique zero, o que significa que pode ser acionada sem interação do usuário”.
Ele acrescentou que o problema parece ser o “resultado do tratamento complexo de caminhos no Windows. … Acreditamos que esse tipo de confusão pode causar vulnerabilidades em outros programas que usam MapUrlToZone em um caminho controlado pelo usuário e, em seguida, usam uma operação de arquivo ( como CreateFile ou uma API semelhante) no mesmo caminho.”
A falha, CVE-2023-29324, tem uma pontuação de gravidade CVSS de 6,5. A Microsoft está recomendando organizações consertar tanto essa vulnerabilidade – um patch foi lançado como parte de Atualização de terça-feira esta semana – bem como o anterior CVE-2023-23397.
Barnea escreveu que espera que a Microsoft remova o recurso de som de lembrete personalizado, dizendo que representa mais riscos de segurança do que qualquer valor potencial para os usuários.
“É uma superfície de ataque de análise de mídia de clique zero que pode conter vulnerabilidades críticas de corrupção de memória”, escreveu ele. “Considerando o quão onipresente o Windows é, eliminar uma superfície de ataque tão madura quanto esta pode ter alguns efeitos muito positivos”. ®
.
