Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Uwaga użytkownicy Outlooka – jednym podstępnym mailem można wyciągnąć Twoje hasło. Wystarczy samo dostarczenie złośliwego maila do ofiary (która nawet nie musi go otworzyć!) CVE-2023-23397

15 marca 2023, 16:54 | W biegu | komentarze 23
Tagi: ,

Microsoft załatał właśnie podatność CVE-2023-23397, która opisana jest dość enigmatycznie: Microsoft Outlook Elevation of Privilege Vulnerability.

Mniej enigmatyczne jest za to zagrożenie, które zostało oszacowane przez Microsoft jako krytyczne. Podatność jest obecnie aktywnie eksploitowana, a została zgłoszona przez ukraiński CERT.

Dość zaskakujący i niepokojący jest następujący fragment opisu błędu. Ofiara nawet nie musi otwierać maila wysłanego przez atakującego – wystarczy, że ten e-mail w jakiś sposób dotrze do Outlooka (np. działającego w tle):

The attacker could exploit this vulnerability by sending a specially crafted email which triggers automatically when it is retrieved and processed by the Outlook client. This could lead to exploitation BEFORE the email is viewed in the Preview Pane.

Co osiąga atak? Wysłanie hasha hasła użytkownika (Net-NTLMv2) na zewnętrzny serwer, który to hash następnie może być łamany – np. hashcatem (łamanie idzie dość szybko – przeszło 11 miliardów sprawdzeń na sekundę na jednym GPU NVIDIA 4090). Ewentualnie atakujący może próbować uwierzytelniać się jako ofiara (atak NTLM relay):

An attacker who successfully exploited this vulnerability could access a user’s Net-NTLMv2 hash which could be used as a basis of an NTLM Relay attack against another service to authenticate as the user.

Od strony technicznej – tutaj możecie zobaczyć przymiarkę do eksploitacji całości, a podatne są (były) Outlooki w wersjach od 2013 w górę. Wśród dodatkowych zaleceń (patrz sekcja Mitigations) Microsoft wskazuje np. blokadę połączeń wychodzących TCP na port docelowy 445.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. xyz

    Jeśli ten atak dotyczy NTLM, czy faktycznie jest to zagrożenie dla przeciętnego człowieka? Użytkownicy, którzy sami zarządzają swoim oprogramowaniem raczej nie są podłączeni do domeny, a admini jeśli mają trochę oleju w głowie nie odkładają aktualizacji Office na później.

    Burza medialna jest o tyle przydatna, że może skłoni kilka firm do aktualizacji do nowego Office.

    Odpowiedz
    • wk

      @xyz

      I tak i nie. Różne dziwne konfiguracje się spotyka u ludzi i w firmach, zależy kto stawiał. Długo by opowiadać. Wyobraźmy sobie np sytuację, gdzie ktoś dostaje w rozliczeniu kompa firmowego i nie reinstaluje systemu, bo działa. Albo kogoś było stać ileś lat temu zapłacić za postawienie sieci w firmie a potem nie na konserwację, a życie przeplata mu się między firmą i domem. Sam nie wie co tam ma póki nie wpuści następnego it. A jeszcze w szkołach potrafią być pracownie na domenach, w placówkach zdrowotnych i innych zacofanych technicznie miejscach. Może nawet nie być komu robić tych aktualizacji póki wszystko nie padnie.

      Odpowiedz
    • qba

      Wg tego co piszą to w tym akurat przypadku akurat lepiej mieć nieaktualnego Office’a :)

      Odpowiedz
    • Kuba

      *przydatna bo może dłoni kilka firm do rezygnacji z office

      Odpowiedz
    • Maras

      Oj oj oj … a kogo az tak bardzo interesuje uzytkownik typu Home? Sekurak to poważny portal więc podaje informacje także dla klienta biznesowego. Zreszta kto miał skorzystac na tej podatności to już pewnie skorzystał – więc masz rację haha po co wogóle takie cos publikować

      Odpowiedz
  2. Imię

    Napisaliście, że 11 mld sprawdzeń na minutę. Niewiele jednak to daje do zrozumienia. Czy moglibyście dodać do artykułu, ile czasu trwałoby złamanie tego na wymienionej karcie graficznej?

    Odpowiedz
    • Maciej

      zależy od długości hasła i jego skomplikowania

      Odpowiedz
    • Mar

      Tu nie ma nic do rozumienia, to tylko matematyka. Ilość sprawdzeń na jednostkę czasu pokazuje Ci ile możesz zrobić dopasowań hasła w tej jednostce czasu. Czyli mniej więcej 7 znakowe hasło składające się z losowych małych liter złamiesz w minutę, badając je metodą losową 26^7=~8miliardów

      Odpowiedz
    • Marcin

      Sekundę… lub milion lat w zależności od tego jakie masz hasło. Unikalne, losowe 12-znakowe hasło złożone z cyfr, liter, znaków specjalnych powinno już być bezpieczne.

      Odpowiedz
    • midway

      Ile to zajmie, to już zależy od długości hasła i znaków użytych w haśle. Np. 8-znakowe hasło złożone z samych małych liter (26 znakowy alfabet) daje 208827064576 kombinacji, czyli złamanie go zajęłoby maksymalnie 19 minut. Jeśli użyjemy małych i dużych liter liczba kombinacji wzrośnie do 53459728531456, a czas sprawdzenia wszystkich do 81 godzin. Po dorzuceniu cyfr będzie 218340105584896 kombinacji i niecałe 14 dni sprawdzania. Oczywiście, jeśli hasło będzie słownikowe, to znacznie przyspieszy jego złamanie.

      Odpowiedz
    • Marcin

      to wszystko zależy od długości i złożoności samego hasła :)

      Odpowiedz
    • Johny

      ~0.00001s dla hasła „admin123”

      Podaj swoje hasło to policzymy.

      Odpowiedz
    • abc

      „Czy moglibyście dodać do artykułu, ile czasu trwałoby złamanie tego na wymienionej karcie graficznej?”
      A to już zależy od tego, jak długie i skomplikowane (niesłownikowe) będzie hasło, którego hash jest łamany.

      Odpowiedz
  3. LiveMail

    A LiveMail też podatny?

    Odpowiedz
  4. R

    Czy problem dotyczy oprogramowania pudełkowego czy chmurowe Microsoft 365 (np. licencje Business i inne tego typu) też?

    Odpowiedz
  5. Odpowiedź

    @Imię nie jesteś zbyt bystry prawda? :D
    Po pierwsze 11mld/s, a nie 11mld/min.
    Po drugie to założenie, że brutforce strzela do hasła pełnym ciągiem znaków i dostaje odpowiedź, czy dobre czy nie.

    A czas złamania musisz obliczyć sobie sam.
    Ilość kombinacji (z powtórzeniami) liczysz ze wzoru
    ((n+k−1)!)/(k!⋅(n−1)!)
    Gdzie k to długość hasła, a n to ilość znaków, z jakich hasło może być stworzone (duże, małe litery, znaki specjalne itd.).
    Potem wynik dzielisz na 11MLD i wyjdzie Ci, ile sekund zajmie złamanie przez 4090 hasła.

    A to tylko założenie, że dobrze strzeliłeś w ilość znaków. Jeżeli nie, to do ilości kombinacji musisz dodawać kolejne iteracje obliczenia zwiększające ilość znaków- od minimalnego wymaganego przez outlook, w górę.

    Przy prostych założeniach, że może być 93 różnych znaków na jednej pozycji i haśle 8 pozycji to wyjdzie jakieś 6 dni (141h), żeby strzelić wszystkimi kombinacjami na tej karcie.
    Przy haśle 15 znaków to może polecieć nawet do 10*10^11 lat.
    Te obliczenia oparłem na info z forów, bo nie chciało mi się tego dokładnie liczyć- tylko dla obrazu, jak to mniej więcej wygląda.

    Oczywiście czas nie idzie to liniowo tylko hiperbolicznie (im więcej znaków tym większy przyrost czasu).

    Odpowiedz
  6. Odpowiedź

    A no i jeszcze trzeba pamiętać, że 4090 to karta dla zwykłego domorosłego hakiera, który nabył ją do gier, a pewnie przez to na windowsie, który też swoje obciążenie dokłada. To nie jest karta do takich obliczeń. Lepiej korzystać z kart, które służą jako koparki krypto albo innych przemysłówek, postawionych na prostych, nieobciążonych systemach. Wtedy o wiele lepiej radzą sobie z takimi prostymi obliczeniami.
    No i też trzeba założyć, że taki brutforce nie robi się na sprzęcie, który zajmie 100h dla prostego przypadku. Więc pewnie tych kart jest więcej, żeby pyknąć to w parę godzin/minut.

    Odpowiedz
  7. Lukasz

    Pewnie chodzi o tego exploita, całe 8k dolców za niego chcą.

    hxxps://0day.today/exploit/description/38261

    Odpowiedz
  8. ATVE

    xyz – kogo obchodzi normalny użytkownik, jego można sphishować albo oszukać czymś znacznie prostszym, takimi atakami targetuje się duże organizacje. Co nie znaczy, że Cię to nie dotknie, Twój Bank może mieć problem z utrzymaniem usług.

    Imię – 11 mld na sekundę. Nie da się przewidzieć ile to potrwa, ponieważ zależy to od stopnia skomplikowania hasła i użytego słownika jeśli hasło to: aaaaa to padnie odpowiednio szybciej niż abaaa próbują wszystkich kombinacji.
    „Cracking hashes of passwords 6 characters or less are almost instant and 7 characters take about 4 minutes.”

    Odpowiedz
  9. P

    Outlook 2010 nie jest podatny?
    Czy jest cień szansy na łatkę do 2013? Wiem, że jest po wsparciu ale bywały już precedensy (w7 chyba).

    Odpowiedz

Odpowiedz