Търсене
Close this search box.

Внимавайте: Експерти разкриват нови подробности за експлойтите на Outlook RCE с нулев клик

Появиха се технически подробности за два вече поправени недостатъка в сигурността на Microsoft Windows, които могат да бъдат използвани от  заплахи, за да постигнат отдалечено изпълнение на код в услугата за електронна поща Outlook без никакво взаимодействие с потребителя.

„Атакуващ в интернет може да свърже уязвимостите заедно, за да създаде пълен експлойт за дистанционно изпълнение на код (RCE) с нулево кликване срещу клиенти на Outlook“, казва изследователят по сигурността на Akamai Бен Барнеа, който е открил уязвимостите, в доклад в две части, споделен с The Hacker News.

Проблемите със сигурността, които бяха отстранени от Microsoft съответно през август и октомври 2023 г., са изброени по-долу –

  • CVE-2023-35384 (CVSS оценка: 5.4) – уязвимост за заобикаляне на функцията за сигурност на Windows HTML Platforms
  • CVE-2023-36710 (CVSS оценка: 7,8) – уязвимост при отдалечено изпълнение на код в ядрото на Windows Media Foundation
  • CVE-2023-35384 е описана от Akamai като заобикаляне на критичен недостатък в сигурността, който Microsoft закърпи през март 2023 г. Проследяван като CVE-2023-23397 (CVSS оценка: 9,8), недостатъкът е свързан със случай на повишаване на привилегиите, който може да доведе до кражба на NTLM пълномощни и да даде възможност на нападателя да извърши атака чрез предаване.

 

По-рано този месец Microsoft, Proofpoint и Palo Alto Networks Unit 42 разкриха, че руски участник в заплахата, известен като APT29, активно е използвал бъга, за да получи неоторизиран достъп до акаунтите на жертвите в сървърите на Exchange.

Струва си да се отбележи, че CVE-2023-35384 е и вторият заобиколен пач след CVE-2023-29324, който също беше открит от Barnea и впоследствие поправен от Redmond като част от актуализациите за сигурност през май 2023 г.

„Открихме още едно заобикаляне на оригиналната уязвимост на Outlook – заобикаляне, което отново ни позволи да принудим клиента да се свърже с контролиран от атакуващия сървър и да изтегли злонамерен звуков файл“, каза Барнеа.

CVE-2023-35384, както и CVE-2023-29324, се корени в парсирането на път от функцията MapUrlToZone, което може да бъде използвано чрез изпращане на имейл, съдържащ злонамерен файл или URL адрес, до клиент на Outlook.

„Уязвимост за заобикаляне на функцията за сигурност съществува, когато платформата MSHTML не успява да потвърди правилната зона за сигурност на заявките за определени URL адреси. Това може да позволи на нападател да накара потребител да получи достъп до URL адрес в по-малко ограничена от предвиденото Зона за сигурност на интернет“, отбелязва Microsoft в своята консултация.

По този начин уязвимостта може да се използва не само за изтичане на NTLM пълномощни, но и да се свърже верижно с дефекта в парсирането на звук (CVE-2023-36710), за да се изтегли потребителски звуков файл, който при автоматично възпроизвеждане с помощта на звуковата функция за напомняне на Outlook може да доведе до изпълнение на код с нулево щракване върху машината на жертвата.

CVE-2023-36710 въздейства върху компонента Audio Compression Manager (ACM), наследена мултимедийна рамка на Windows, която се използва за управление на аудио кодеци, и е резултат от уязвимост с препълване на цяло число, която възниква при възпроизвеждане на WAV файл.

„Накрая успяхме да задействаме уязвимостта, като използвахме кодека IMA ADP“, обясни Barnea. „Размерът на файла е приблизително 1,8 GB. Извършвайки математическата операция за ограничаване на изчисленията, можем да заключим, че най-малкият възможен размер на файла с кодека IMA ADP е 1 GB.“

За да се намалят рисковете, се препоръчва организациите да използват микросегментация, за да блокират изходящите SMB връзки към отдалечени публични IP адреси. Освен това се препоръчва и да се деактивира NTLM или да се добавят потребители към групата за сигурност Protected Users, която предотвратява използването на NTLM като механизъм за удостоверяване.

 

Източник: The Hacker News

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
Бъдете социални
Още по темата
17/04/2024

Приложението Copilot на Win...

Microsoft твърди, че новото приложение Copilot,...
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
16/04/2024

UnitedHealth Group отчете 8...

UnitedHealth Group отчете 872 млн. щатски...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!