Microsoft Outlook’ta artık yama uygulanan bir güvenlik açığı, tehdit aktörleri tarafından, özel hazırlanmış bir dosyayı açarken NT LAN Manager (NTLM) v2 karma parolalarına erişmek için kullanılabilir.
CVE-2023-35636 (CVSS puanı: 6,5) olarak takip edilen sorun, teknoloji devi tarafından Aralık 2023 Salı Yaması güncellemelerinin bir parçası olarak giderildi.
Microsoft, “Bir e-posta saldırısı senaryosunda, saldırgan özel hazırlanmış dosyayı kullanıcıya göndererek ve kullanıcıyı dosyayı açmaya ikna ederek bu güvenlik açığından yararlanabilir.” söz konusu geçen ay yayınlanan bir tavsiye niteliğinde.
Web tabanlı bir saldırı senaryosunda, bir saldırgan, güvenlik açığından yararlanmak üzere tasarlanmış özel hazırlanmış bir dosya içeren bir web sitesini barındırabilir (veya kullanıcı tarafından sağlanan içeriği kabul eden veya barındıran, güvenliği ihlal edilmiş bir web sitesinden yararlanabilir).
Başka bir deyişle, saldırganın, kullanıcıları kimlik avı e-postasına yerleştirilmiş veya anlık mesaj yoluyla gönderilen bir bağlantıya tıklamaya ikna etmesi ve ardından söz konusu dosyayı açmaları için onları kandırması gerekir.
CVE-2023-35636, Outlook e-posta uygulamasındaki takvim paylaşım işlevine dayanmaktadır; burada kötü amaçlı bir e-posta iletisi, Outlook e-posta uygulamasına eklenerek oluşturulur. iki başlık Kimlik doğrulama sırasında kurbanın NTLM karmasını açığa çıkarmak için hazırlanmış değerlere sahip “Content-Class” ve “x-sharing-config-url”.
Hatayı keşfedip bildiren Varonis güvenlik araştırmacısı Dolev Taler, NTLM karmalarının Windows Performans Analizörü (WPA) ve Windows Dosya Gezgini kullanılarak sızdırılabileceğini söyledi. Ancak bu iki saldırı yöntemi yamasız kalıyor.
Taler, “Bunu ilginç kılan şey, WPA’nın açık web üzerinden NTLM v2 kullanarak kimlik doğrulaması yapmaya çalışmasıdır.” söz konusu.
“Genellikle dahili IP adresi tabanlı hizmetlere karşı kimlik doğrulaması yapılırken NTLM v2 kullanılmalıdır. Ancak NTLM v2 karması açık internet üzerinden geçtiğinde aktarma ve çevrimdışı kaba kuvvet saldırılarına karşı savunmasızdır.”
Açıklama, Check Point’in, bir kurbanı hileli bir Microsoft Access dosyasını açması için kandırarak bir Windows kullanıcısının NTLM belirteçlerini sızdırmak için silah olarak kullanılabilecek bir “zorla kimlik doğrulama” vakasını ortaya çıkarmasıyla geldi.
Microsoft, Ekim 2023’te, şifreleme yöntemlerini desteklememesi ve geçiş saldırılarına açık olması nedeniyle gelişmiş güvenlik için Windows 11’de NTLM’yi Kerberos lehine sonlandırmayı planladığını duyurdu.