Uma falha de segurança agora corrigida no Microsoft Outlook poderia ser explorada por atores mal-intencionados para acessar senhas hash NT LAN Manager (NTLM) v2 ao abrir um arquivo especialmente projetado.
A questão, identificada como
CVE-2023-35636
(pontuação CVSS: 6,5), foi resolvida pelo gigante da tecnologia como parte de suas atualizações de Patch Tuesday para dezembro de 2023.
"Em um cenário de ataque por e-mail, um invasor poderia explorar a vulnerabilidade enviando o arquivo especialmente elaborado ao usuário e convencendo-o a abrir o arquivo", disse a Microsoft em um aviso divulgado no mês passado.
"Em um cenário de ataque baseado na web, um invasor poderia hospedar um site (ou aproveitar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) contendo um arquivo especialmente elaborado para explorar a vulnerabilidade."
Em outras palavras, o adversário teria que convencer os usuários a clicar em um link, seja incorporado em um e-mail de phishing ou enviado por mensagem instantânea, e depois enganá-los para abrir o arquivo em questão.
O
CVE-2023-35636
tem origem na função de compartilhamento de calendário no aplicativo de e-mail Outlook, onde uma mensagem de e-mail maliciosa é criada pela inserção de dois cabeçalhos "Content-Class" e "x-sharing-config-url" com valores criados para expor o hash NTLM de uma vítima durante autenticação.
O pesquisador de segurança da Varonis, Dolev Taler, que foi creditado por descobrir e relatar o bug, disse que os hashes NTLM poderiam ser vazados com a ajuda do Windows Performance Analyzer (WPA) e do Windows File Explorer.
No entanto, esses dois métodos de ataque permanecem sem correção.
"O que torna isso interessante é que o WPA tenta se autenticar usando o NTLM v2 na web aberta", disse Taler.
"Geralmente, o NTLM v2 deve ser usado ao tentar autenticar contra serviços internos com base em endereços IP.
No entanto, quando a hash NTLM v2 está passando pela internet aberta, ela fica vulnerável a ataques offline e de força bruta."
A divulgação ocorre após a Check Point revelar um caso de "autenticação forçada" que pode ser usada para vazar os tokens NTLM de um usuário do Windows, enganando uma vítima ao abrir um arquivo Microsoft Access falso.
A Microsoft, em outubro de 2023, anunciou planos de descontinuar o NTLM no Windows 11 em favor do Kerberos para uma segurança aprimorada, pelo fato de não suportar métodos criptográficos e ser suscetível a ataques de retransmissão.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...