آسیبپذیری در Outlook مایکروسافت به هکرها اجازه میدهد به راحتی رمزعبور کامپیوتر شما را سرقت کنند
یک محقق امنیتی آسیبپذیری مهمی را در Outlook مایکروسافت افشاء نمود. مایکروسافت تقریباً ۱۸ ماه پس از دریافت گزارش افشای آسیبپذیری، در ماه جاری یک وصله ناقص برای آن منتشر نموده است!
آسیبپذیری Outlook مایکروسافت که (CVE-2018-0950) نام دارد به مهاجمان اجازه میدهد اطلاعات حساس کاربر مانند اطلاعات ورود به سیستم را تنها با متقاعد نمودن کاربر برای مشاهده ایمیل از طریق برنامه Outlook مایکروسافت و بدون نیاز به هیچ اقدام دیگری از جانب کاربر سرقت نمایند.
این آسیبپذیری توسط Will Dormann از مرکز هماهنگی CERT ((CERT/CC کشف شد. عملکرد آن به نحوی است که زمانی که پیشنمایش یک ایمیل RTF (Rich Text Format) نشان داده میشود و اتصالات SMB را به طور خودکار آغاز مینماید، برنامه Outlook مایکروسافت محتوای OLE را (که از یک میزبان تحت کنترل راه دور است) به طور خودکار باز میکند.
یک مهاجم از راه دور میتواند این آسیبپذیری را با استفاده از یک ایمیل RTF حاوی یک فایل تصویری (شیء OLE)، که از سرور SMB تحت کنترل مهاجم بارگیری میشود، و ارسال آن به قربانی مورد هدف، اکسپلویت نماید.
از آنجا که Outlook مایکروسافت، به طور خودکار محتوای OLE را باز میکند، یک احراز هویت خودکار با سرور تحت کنترل مهاجم بر روی پروتکل SMB با استفاده از SSO (Single Sign On) صورت خواهد گرفت، برداشتن نام کاربری قربانی و پسورد هش شده NTLMv2 به طور بالقوه به مهاجم اجازه میدهد دسترسی به سیستم قربانی را به دست آورد.
مرکز US-CERT اینگونه تشریح میکند: "این عمل ممکن است آدرس IP کاربر، نام دامنه، نام کاربری، نام میزبان و هش پسورد را نادیده بگیرد. اگر پسورد کاربر به اندازه کافی پیچیده نباشد، آنگاه مهاجم ممکن است بتواند پسورد را در مدت زمان کوتاهی کرک نماید."
ممکن است فکر کنید چرا ویندوز سیستم شما اطلاعات مربوط به اعتبارسنجی شما (یوزرنیم و پسورد) را در اختیار سرور SMB مهاجم قرار میدهد؟
در عکس فوق نحوهی کار احراز هویت از طریق پروتکل SMB (Server Message Block) در ترکیب با مکانیسم احراز هویت NTLM چالش/پاسخ آورده شده است.
Dormann این آسیبپذیری را در نوامبر ۲۰۱۶ به مایکروسافت گزارش داد و برای وصله نمودن آن بسیار تلاش کرد، اما مایکروسافت یک وصله ناقص را ۱۸ ماه پس از گزارش Dormann، در آوریل ۲۰۱۸ برای این آسیبپذیری منتشر نمود!
وصلهای که مایکروسافت برای این آسیبپذیری منتشر نموده است تنها مانع برقراری اتصالات SMB هنگام پیشنمایش ایمیلهای RTF میشود. اما محققان میگویند این وصله از تمام حملات SMB جلوگیری نمیکند. Dormann اذعان داشت: "مهم است بدانید که حتی با این وصله، هنوز هم کاربر یک کلیک تا قربانی شدن فاصله دارد." به عنوان مثال، اگر ایمیلی یک لینک UNC-style داشته باشد که با "\\" شروع شود، کلیک کردن بر روی لینک، یک ارتباط SMB را با سرور تعیین شده آغاز میکند.
اگر شما آخرین آپدیت پچ مایکروسافت را نصب نمودهاید، این عالی است، اما مهاجمان هنوز میتوانند این آسیبپذیری را اکسپلویت نمایند. بنابراین به کاربران ویندوز، علیالخصوص مدیران شبکه در شرکتها توصیه میگردد به منظور کاهش خطرات ناشی از این آسیبپذیری، نکات زیر را مد نظر داشته باشند:
- اگر هنوز برای بروز رسانی اقدام نکردهاید، آپدیت مایکروسافت را برای آسیبپذیری CVE-2018-0950 اعمال نمایید.
- پورتهای ۴۴۵/tcp، ۱۳۷/tcp، ۱۳۹/tcp و نیز ۱۳۷/udp و ۱۳۹/udp را برای نشستهای ورودی و خروجی SMB مسدود نمایید.
- احراز هویت SSOی (Single Sign On) NTLM (NT LAN Manager) را مسدود نمایید.
- همیشه از پسوردهای پیچیده استفاده نمایید، که حتی اگر هش آنها سرقت شد به راحتی کرک نشوند.
- و مهمتر از همه اینکه، بر روی لینکهای مشکوکی که در ایمیلها میآیند کلیک نکنید.
منبع: https://thehackernews.com/2018/04/outlook-smb-vulnerability.html