Появиха се технически подробности за два вече поправени недостатъка в сигурността на Microsoft Windows, които могат да бъдат използвани от заплахи, за да постигнат отдалечено изпълнение на код в услугата за електронна поща Outlook без никакво взаимодействие с потребителя.
„Атакуващ в интернет може да свърже уязвимостите заедно, за да създаде пълен експлойт за дистанционно изпълнение на код (RCE) с нулево кликване срещу клиенти на Outlook“, казва изследователят по сигурността на Akamai Бен Барнеа, който е открил уязвимостите, в доклад в две части, споделен с The Hacker News.
Проблемите със сигурността, които бяха отстранени от Microsoft съответно през август и октомври 2023 г., са изброени по-долу –
По-рано този месец Microsoft, Proofpoint и Palo Alto Networks Unit 42 разкриха, че руски участник в заплахата, известен като APT29, активно е използвал бъга, за да получи неоторизиран достъп до акаунтите на жертвите в сървърите на Exchange.
Струва си да се отбележи, че CVE-2023-35384 е и вторият заобиколен пач след CVE-2023-29324, който също беше открит от Barnea и впоследствие поправен от Redmond като част от актуализациите за сигурност през май 2023 г.
„Открихме още едно заобикаляне на оригиналната уязвимост на Outlook – заобикаляне, което отново ни позволи да принудим клиента да се свърже с контролиран от атакуващия сървър и да изтегли злонамерен звуков файл“, каза Барнеа.
CVE-2023-35384, както и CVE-2023-29324, се корени в парсирането на път от функцията MapUrlToZone, което може да бъде използвано чрез изпращане на имейл, съдържащ злонамерен файл или URL адрес, до клиент на Outlook.
„Уязвимост за заобикаляне на функцията за сигурност съществува, когато платформата MSHTML не успява да потвърди правилната зона за сигурност на заявките за определени URL адреси. Това може да позволи на нападател да накара потребител да получи достъп до URL адрес в по-малко ограничена от предвиденото Зона за сигурност на интернет“, отбелязва Microsoft в своята консултация.
По този начин уязвимостта може да се използва не само за изтичане на NTLM пълномощни, но и да се свърже верижно с дефекта в парсирането на звук (CVE-2023-36710), за да се изтегли потребителски звуков файл, който при автоматично възпроизвеждане с помощта на звуковата функция за напомняне на Outlook може да доведе до изпълнение на код с нулево щракване върху машината на жертвата.
CVE-2023-36710 въздейства върху компонента Audio Compression Manager (ACM), наследена мултимедийна рамка на Windows, която се използва за управление на аудио кодеци, и е резултат от уязвимост с препълване на цяло число, която възниква при възпроизвеждане на WAV файл.
„Накрая успяхме да задействаме уязвимостта, като използвахме кодека IMA ADP“, обясни Barnea. „Размерът на файла е приблизително 1,8 GB. Извършвайки математическата операция за ограничаване на изчисленията, можем да заключим, че най-малкият възможен размер на файла с кодека IMA ADP е 1 GB.“
За да се намалят рисковете, се препоръчва организациите да използват микросегментация, за да блокират изходящите SMB връзки към отдалечени публични IP адреси. Освен това се препоръчва и да се деактивира NTLM или да се добавят потребители към групата за сигурност Protected Users, която предотвратява използването на NTLM като механизъм за удостоверяване.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.