Waarom Microsoft zojuist de patch heeft gepatcht die de Outlook Under Attack-bug verpletterde • The Register

In maart repareerde Microsoft een interessante kwetsbaarheid in Outlook die onverlaten misbruikten om de Windows-inloggegevens van slachtoffers te lekken. Deze week heeft de IT-gigant die oplossing uitgerold als onderdeel van zijn maandelijkse update op dinsdag.

Om u te herinneren aan de oorspronkelijke fout, werd deze bijgehouden als CVE-2023-23397: Het was mogelijk om iemand een herinnering te e-mailen met een aangepast meldingsgeluid. Deze aangepaste audio kan worden opgegeven als een URL-pad in de e-mail.

Als de verkeerde persoon zorgvuldig e-mail heeft gemaakt met dat audiopad ingesteld op een externe SMB-server, dan zal Outlook, wanneer het bericht wordt opgehaald en verwerkt, waarbij automatisch het pad naar de bestandsserver wordt getraceerd, een Net-NTLMv2-hash overhandigen aan de gebruiker die probeert Log in. Hierdoor wordt de hash effectief gelekt naar een externe partij, die de inloggegevens mogelijk kan gebruiken om toegang te krijgen tot andere bronnen zoals die gebruiker, waardoor hackers interne netwerksystemen kunnen verkennen, documenten kunnen stelen, zich kunnen voordoen als hun slachtoffer, enzovoort.

Door de patch van twee maanden geleden maakte Outlook gebruik van Windows-functionaliteit MapUrlToZone Om te controleren waar de meldingssoundtrack echt naar verwijst, wordt deze, als deze online is, genegeerd en wordt het standaardgeluid afgespeeld. Dit had de client ervan moeten weerhouden verbinding te maken met een externe server en hashes te lekken.

Het blijkt dat op MapUrlToZone gebaseerde beveiliging kan worden omzeild, wat Microsoft ertoe bracht in maart in mei een oplossing hiervoor te steunen. De oorspronkelijke bug werd in het wild uitgebuit en toen de patch landde, trok hij ieders aandacht. Deze interesse hielp onthullen dat de hervorming onvolledig was.

En als het onvolledig blijft, kan iedereen die misbruik maakt van de originele bug de andere kwetsbaarheid gebruiken om de originele patch te omzeilen. Voor de duidelijkheid, het is niet zo dat fix CVE-2023-23397 niet werkte – dat deed het – het was niet genoeg om het gat in het aangepaste audiobestand volledig te dichten.

Deze kwetsbaarheid is een ander voorbeeld van patch-checking die leidt tot nieuwe kwetsbaarheden en misbruiken. Hij zei Ben Parnia van Akamai, die de MapUrlToZone-overflow opmerkte en rapporteerde.

Specifiek voor deze kwetsbaarheid kan door het toevoegen van een enkel teken een kritieke patch worden omzeild.

Cruciaal is dat terwijl de eerste bug met Outlook was, dit tweede probleem met MapUrlToZone ligt in de implementatie door Microsoft van deze functionaliteit in de Windows API. Parnia schrijft dat dit betekent dat de tweede patch niet voor Outlook is, maar voor het onderliggende MSHTML-platform in Windows, en dat alle versies van het besturingssysteem door deze bug worden getroffen. Het probleem is dat de kwaadwillig gegenereerde route kan worden doorgegeven aan MapUrlToZone, zodat de functie bepaalt dat de route niet naar het externe internet gaat, terwijl dat wel het geval is wanneer de toepassing de route opent.

Volgens Barnea kunnen e-mails een herinnering bevatten met een aangepast meldingsgeluid dat is gespecificeerd als een pad met behulp van een MAPI-eigenschap die is uitgebreid met PidLidReminderFileParameter.

“Een aanvaller kan een UNC-pad specificeren waardoor de client het audiobestand van elke SMB-server kan ophalen”, legt hij uit. Als onderdeel van de verbinding met de externe SMB-server wordt een Net-NTLMv2-hash verzonden in een onderhandelingsbericht.

Deze glitch was al erg genoeg om een ​​CVSS-ernstscore van 9,8 op 10 te krijgen en was tegen de tijd dat de fix in maart werd uitgebracht, al ongeveer een jaar uitgebuit door een naar Rusland gebonden bemanning. De cyberbende gebruikte het bij aanvallen op organisaties in Europese regeringen, maar ook op transport, energie en militaire ruimten.

Om een ​​bypass te vinden voor de oorspronkelijke patch van Microsoft, wilde Barnea een route maken die MapUrlToZone zou labelen als lokaal, intranet of vertrouwde zone, wat betekent dat Outlook deze veilig kon volgen, maar wanneer doorgegeven aan de CreateFile-functie om het te openen, zou het de OS ga om verbinding te maken met een externe server.

Uiteindelijk ontdekte hij dat de klootzakken de URL in herinneringen konden veranderen, waardoor MapUrlToZone werd misleid om te controleren of externe paden werden gezien als lokale paden. Dit kan worden gedaan met een enkele toetsaanslag, door een tweede “\” toe te voegen aan het UNC-pad (Universal Naming Convention).

“Een niet-geverifieerde aanvaller op internet kan de kwetsbaarheid gebruiken om een ​​Outlook-client te dwingen verbinding te maken met een server die door de aanvaller wordt beheerd”, schreef Parnia. “Hierdoor worden NTLM-referenties gestolen. Het is een niet-klikbare kwetsbaarheid, wat betekent dat het kan worden uitgevoerd zonder tussenkomst van de gebruiker.”

Hij voegde eraan toe dat het probleem lijkt te zijn “het resultaat van de complexe afhandeling van paden in Windows. … We denken dat dit soort verwarring kwetsbaarheden kan veroorzaken in andere programma’s die MapUrlToZone gebruiken in een door de gebruiker gecontroleerd pad en vervolgens een bestandsbewerking gebruiken. (zoals CreateFile of de API-vergelijkbare apps) op hetzelfde pad.”

hapering, CVE-2023-29324Hij heeft een CVSS-ernstscore van 6,5. Microsoft raadt organisaties aan Reparatie Zowel deze kwetsbaarheid – er is deze week een patch uitgebracht als onderdeel van Patch Tuesday – als de vorige CVE-2023-23397.

Parnia schreef dat hij hoopt dat Microsoft de aangepaste herinneringsgeluidsfunctie zal verwijderen, omdat het meer beveiligingsrisico’s met zich meebrengt dan enige potentiële waarde voor gebruikers.

“Het is een aanvalsoppervlak voor media-analyse zonder klikken dat kritieke kwetsbaarheden voor geheugenbeschadiging kan bevatten”, schreef hij. “Gezien hoe alomtegenwoordig Windows is, kan het elimineren van een zo volwassen aanvalsoppervlak een aantal zeer positieve effecten hebben.” ®