Użytkownikom Outlooka można wykraść hasło Windowsa – wystarczy wysłać maila

Użytkownikom Outlooka można wykraść hasło Windowsa – wystarczy wysłać maila12.04.2018 12:44
Wiadomość e-mail z depositphotos

Niemal półtora roku zajęło Microsoftowi załatanie luki, kórapozwalała wykraść hasło logowania użytkowników Windowsa.Badacz, który odkrył tę podatność i który wykazał się takwielką cierpliwością, ze spokojnym sumieniem przedstawił więcscenariusz ataku. Zwrócił przy tym jednak uwagę, że wydana wraz zkwietniowymi aktualizacjami bezpieczeństwa łatka niestety jestniekompletna, wciąż pozwalając na ataki tego typu.

Luka odkryta w 2016 roku przez Willa Dormanna z amerykańskiegoCERT-u, dotyczy Outlooka, formatu dokumentów RTF, technologiiosadzania dokumentów OLE oraz protokołu sieciowego SMB. Wszystkierazem wzięte otwierają drogę do wydobycia z systemu ofiary jejdanych bez konieczności podejmowania jakichkolwiek ryzykownychdziałań.

Zacznijmy od trywialnego scenariusza: ktoś wysyła użytkownikowiOutlooka maila w formacie HTML, zawierającego obrazki hostowane nazdalnym serwerze. Jeśli taki mail zostanie zaznaczony, wówczas wpanelu podglądu Outlooka wyświetlony zostanie jedynie jegoszkieletowy podgląd, bez ładowania obrazków. Bardzo słusznie –gdyby Outlook automatycznie ładował zdalne obrazki, ujawniałoby topotencjalnemu napastnikowi adres IP ofiary i liczne metadane.

Outlook wyświetla wiadomość RTF z osadzonym obrazkiem (źródło: CERT CC)
Outlook wyświetla wiadomość RTF z osadzonym obrazkiem (źródło: CERT CC)

Teraz jednak wyślijmy użytkownikowi Outlooka innego maila, tymrazem w formacie RTF, z osadzonym przez OLE dokumentem, któryhostowany jest na zdalnym serwerze SMB. No cóż, programiściMicrosoftu najwyraźniej uznali, że serwery SMB są z naturydobroduszne i nic złego stać się nie może: Outlook śmiałopobiera dokument i wyświetla go w podglądzie, bez koniecznościklikania w cokolwiek.

Co się jednak dzieje w momencie pobrania zawartości dokumentuosadzonego przez OLE w mailu? Znacznie więcej, niż przy ewentualnejpróbie pobrania obrazka po HTTP(S) z serwera webowego. Otóż klientpoczty inicjuje wówczas proces uwierzytelnienia ze zdalnym serweremSMB, wykorzystując mechanizm pojedynczego logowania (single sign-on,SSO). W trakcie wysyła login, skrót hasła po protokole NTLM, adresIP, nazwę domeny i nazwę hosta.

Wystarczy podgląd maila, by napastnikowi wysłać takie dane (źródło: CERT CC)
Wystarczy podgląd maila, by napastnikowi wysłać takie dane (źródło: CERT CC)

Jak twierdziamerykański CERT, jeśli hasło Windowsa nie jest wystarczającozłożonone, napastnik może szybko złamać kryptograficzny skrót.Trudno się z tym nie zgodzić – wystarczy Kali Linux z Hashcatemczy Johnem the Ripperem i przyzwoita karta graficzna, by zrobić to wkilka godzin. Samemu odkrywcy, który miał do dyspozycji raptemjedną, niezbyt przecież mocną kartę GeForce GTX 960, złamanie8-znakowego hasła z literami tej samej wielkości zajęło 16 minut,8-znakowe hasło mieszane złamał zaś w trzy dni.

Atak na Outlooka pozwala też nie tylko na wykradzenie hasła, aleteż na zdalnewywołanie niebieskiego ekranu śmierci na systemach, które nieotrzymały łatek KB4013078 z grudnia 2017 roku. Wystarczyodpowiednio uzłośliwić serwer SMB i wysłać ofierze maila.

Co na to Microsoft? Po wielu miesiącach zgłoszona przez WillaDormana została wreszcie załatana. Zainstalowanie kwietniowychpoprawek bezpieczeństwa sprawi, że Outlook nie będzie już sięautomatycznie łączył ze zdalnymi serwerami SMB. Niestety jednaknie rozwiązuje to całego problemu, bo tak naprawdę podatność niezniknęła, tylko została przykryta. Wystarczy w treści mailaumieścić link w formacie UMC (zaczynający się od ciągu \) inakłonić użytkownika do jego kliknięcia. Zainicjuje to połączeniepo SMB ze zdalnym serwerem i przekazanie tych wszystkich danych.

Jak się zabezpieczyć?

Same łatki Microsoftu nie są w tej sytuacji wystarczające.Zalecamy oczywiście zainstalowanie poprawki na lukę CVE-2018-0950 wzbiorczej paczce KB4093112, ale oprócz tego warto:

  • Zablokować na firewallu dla sieci zewnętrznej porty 445/tcp,137/tcp, 139/tcp, 137/udp i 139/udp, wstrzymując w ten sposóbwszelki ruch po protokole SMB,
  • Zablokować pojedyncze logowanie poprzez wprowadzenie do Rejestruklucza typu DWORD32 nazwie EnterpriseAccountSSO w lokalizacji HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0 iwartości 0. Szczegóły znajdziecie w poradnikuMicrosoftu(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170014).
  • Stosować mocne, co najmniej 12-znakowe hasła do Windowsa,składające się z liter, cyfr i znaków specjalnych.
Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na