Pesquisadores Descobrem Como a Vulnerabilidade do Outlook Pode Vazar Suas Senhas NTLM
30 de Janeiro de 2024

Uma falha de segurança agora corrigida no Microsoft Outlook poderia ser explorada por atores mal-intencionados para acessar senhas hash NT LAN Manager (NTLM) v2 ao abrir um arquivo especialmente projetado.

A questão, identificada como CVE-2023-35636 (pontuação CVSS: 6,5), foi resolvida pelo gigante da tecnologia como parte de suas atualizações de Patch Tuesday para dezembro de 2023.

"Em um cenário de ataque por e-mail, um invasor poderia explorar a vulnerabilidade enviando o arquivo especialmente elaborado ao usuário e convencendo-o a abrir o arquivo", disse a Microsoft em um aviso divulgado no mês passado.

"Em um cenário de ataque baseado na web, um invasor poderia hospedar um site (ou aproveitar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) contendo um arquivo especialmente elaborado para explorar a vulnerabilidade."

Em outras palavras, o adversário teria que convencer os usuários a clicar em um link, seja incorporado em um e-mail de phishing ou enviado por mensagem instantânea, e depois enganá-los para abrir o arquivo em questão.

O CVE-2023-35636 tem origem na função de compartilhamento de calendário no aplicativo de e-mail Outlook, onde uma mensagem de e-mail maliciosa é criada pela inserção de dois cabeçalhos "Content-Class" e "x-sharing-config-url" com valores criados para expor o hash NTLM de uma vítima durante autenticação.

O pesquisador de segurança da Varonis, Dolev Taler, que foi creditado por descobrir e relatar o bug, disse que os hashes NTLM poderiam ser vazados com a ajuda do Windows Performance Analyzer (WPA) e do Windows File Explorer.

No entanto, esses dois métodos de ataque permanecem sem correção.

"O que torna isso interessante é que o WPA tenta se autenticar usando o NTLM v2 na web aberta", disse Taler.

"Geralmente, o NTLM v2 deve ser usado ao tentar autenticar contra serviços internos com base em endereços IP.

No entanto, quando a hash NTLM v2 está passando pela internet aberta, ela fica vulnerável a ataques offline e de força bruta."

A divulgação ocorre após a Check Point revelar um caso de "autenticação forçada" que pode ser usada para vazar os tokens NTLM de um usuário do Windows, enganando uma vítima ao abrir um arquivo Microsoft Access falso.

A Microsoft, em outubro de 2023, anunciou planos de descontinuar o NTLM no Windows 11 em favor do Kerberos para uma segurança aprimorada, pelo fato de não suportar métodos criptográficos e ser suscetível a ataques de retransmissão.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...