آسیب‎پذیری در Outlook مایکروسافت به هکرها اجازه می‎دهد به راحتی رمزعبور کامپیوتر شما را سرقت کنند

یک محقق امنیتی آسیب‎پذیری مهمی را در Outlook مایکروسافت افشاء نمود. مایکروسافت تقریباً ۱۸ ماه پس از دریافت گزارش افشای آسیب‎پذیری، در ماه جاری یک وصله ناقص برای آن منتشر نموده است!

آسیب‎پذیری Outlook مایکروسافت که (CVE-2018-0950) نام دارد به مهاجمان اجازه می‎دهد اطلاعات حساس کاربر مانند اطلاعات ورود به سیستم را تنها با متقاعد نمودن کاربر برای مشاهده ایمیل از طریق برنامه Outlook مایکروسافت و بدون نیاز به هیچ اقدام دیگری از جانب کاربر سرقت نمایند.

این آسیب‎پذیری توسط Will Dormann از مرکز هماهنگی CERT ((CERT/CC کشف شد. عملکرد آن به نحوی است که زمانی که پیش‌‏نمایش یک ایمیل RTF (Rich Text Format) نشان داده می‏‌شود و اتصالات SMB را به طور خودکار آغاز می‌نماید، برنامه Outlook مایکروسافت محتوای OLE را (که از یک میزبان تحت کنترل راه دور است) به طور خودکار باز می‌کند.

یک مهاجم از راه دور می‎تواند این آسیب‌پذیری را با استفاده از یک ایمیل RTF حاوی یک فایل تصویری (شیء OLE)، که از سرور SMB تحت کنترل مهاجم بارگیری می‏‌شود، و ارسال آن به قربانی مورد هدف، اکسپلویت نماید.
از آنجا که Outlook مایکروسافت، به طور خودکار محتوای OLE را باز می‌‏کند، یک احراز هویت خودکار با سرور تحت کنترل مهاجم بر روی پروتکل SMB با استفاده از SSO (Single Sign On) صورت خواهد گرفت، برداشتن نام کاربری قربانی و پسورد هش شده NTLMv2  به طور بالقوه به مهاجم اجازه می‏‌دهد دسترسی به سیستم قربانی را به دست آورد.

مرکز US-CERT اینگونه تشریح می‌‏کند: "این عمل ممکن است آدرس IP کاربر، نام دامنه، نام کاربری، نام میزبان و هش پسورد را نادیده بگیرد. اگر پسورد کاربر به اندازه کافی پیچیده نباشد، آنگاه مهاجم ممکن است بتواند پسورد را در مدت زمان کوتاهی کرک نماید."

ممکن است فکر کنید چرا ویندوز سیستم شما اطلاعات مربوط به اعتبارسنجی شما (یوزرنیم و پسورد) را در اختیار سرور SMB مهاجم قرار می‏‌دهد؟

در عکس فوق نحوه‌‏ی کار احراز هویت از طریق پروتکل SMB (Server Message Block) در ترکیب با مکانیسم احراز هویت NTLM چالش/پاسخ آورده شده است.

Dormann این آسیب‏‌پذیری را در نوامبر ۲۰۱۶ به مایکروسافت گزارش داد و برای وصله نمودن آن بسیار تلاش کرد، اما مایکروسافت یک وصله ناقص را ۱۸ ماه پس از گزارش Dormann، در آوریل ۲۰۱۸ برای این آسیب‏‌پذیری منتشر نمود!

وصله‎ای که مایکروسافت برای این آسیب‏‌پذیری منتشر نموده است تنها مانع برقراری اتصالات SMB هنگام پیش‌نمایش ایمیل‏‌های RTF می‎شود. اما محققان می‏‌گویند این وصله از تمام حملات SMB جلوگیری نمی‌‏کند. Dormann اذعان داشت: "مهم است بدانید که حتی با این وصله، هنوز هم کاربر یک کلیک تا قربانی شدن فاصله دارد." به عنوان مثال، اگر ایمیلی یک لینک UNC-style داشته باشد که با "\\" شروع شود، کلیک کردن بر روی لینک، یک ارتباط SMB را با سرور تعیین شده آغاز می‌‏کند.

اگر شما آخرین آپدیت پچ مایکروسافت را نصب نموده‌‏اید، این عالی است، اما مهاجمان هنوز می‏‌توانند این آسیب‌‏پذیری را اکسپلویت نمایند. بنابراین به کاربران ویندوز، علی‎الخصوص مدیران شبکه در شرکت‌‏ها توصیه می‏‌گردد به منظور کاهش خطرات ناشی از این آسیب‌‏پذیری، نکات زیر را مد نظر داشته باشند:

• اگر هنوز برای بروز رسانی اقدام نکرده‌‏‏اید، آپدیت مایکروسافت را برای آسیب‏‌پذیری CVE-2018-0950 اعمال نمایید.
• پورت‌‏های ۴۴۵/tcp، ۱۳۷/tcp، ۱۳۹/tcp و نیز ۱۳۷/udp و ۱۳۹/udp را برای نشست‏‌های ورودی و خروجی SMB مسدود نمایید.
• احراز هویت SSOی (Single Sign On) NTLM (NT LAN Manager) را مسدود نمایید.
• همیشه از پسوردهای پیچیده استفاده نمایید، که حتی اگر هش آن‎ها سرقت شد به راحتی کرک نشوند.
• و مهم‌‏تر از همه اینکه، بر روی لینک‏‌های مشکوکی که در ایمیل‏‌ها می‎آیند کلیک نکنید.

منبع: https://thehackernews.com/2018/04/outlook-smb-vulnerability.html