Użytkownikom Outlooka można wykraść hasło Windowsa – wystarczy wysłać maila

Strona głównaUżytkownikom Outlooka można wykraść hasło Windowsa – wystarczy wysłać maila
12.04.2018 12:44
Wiadomość e-mail z depositphotos
Wiadomość e-mail z depositphotos

Niemal półtora roku zajęło Microsoftowi załatanie luki, kórapozwalała wykraść hasło logowania użytkowników Windowsa.Badacz, który odkrył tę podatność i który wykazał się takwielką cierpliwością, ze spokojnym sumieniem przedstawił więcscenariusz ataku. Zwrócił przy tym jednak uwagę, że wydana wraz zkwietniowymi aktualizacjami bezpieczeństwa łatka niestety jestniekompletna, wciąż pozwalając na ataki tego typu.

bECwbarp

Luka odkryta w 2016 roku przez Willa Dormanna z amerykańskiegoCERT-u, dotyczy Outlooka, formatu dokumentów RTF, technologiiosadzania dokumentów OLE oraz protokołu sieciowego SMB. Wszystkierazem wzięte otwierają drogę do wydobycia z systemu ofiary jejdanych bez konieczności podejmowania jakichkolwiek ryzykownychdziałań.

Zacznijmy od trywialnego scenariusza: ktoś wysyła użytkownikowiOutlooka maila w formacie HTML, zawierającego obrazki hostowane nazdalnym serwerze. Jeśli taki mail zostanie zaznaczony, wówczas wpanelu podglądu Outlooka wyświetlony zostanie jedynie jegoszkieletowy podgląd, bez ładowania obrazków. Bardzo słusznie –gdyby Outlook automatycznie ładował zdalne obrazki, ujawniałoby topotencjalnemu napastnikowi adres IP ofiary i liczne metadane.

Outlook wyświetla wiadomość RTF z osadzonym obrazkiem (źródło: CERT CC)
Outlook wyświetla wiadomość RTF z osadzonym obrazkiem (źródło: CERT CC)

Teraz jednak wyślijmy użytkownikowi Outlooka innego maila, tymrazem w formacie RTF, z osadzonym przez OLE dokumentem, któryhostowany jest na zdalnym serwerze SMB. No cóż, programiściMicrosoftu najwyraźniej uznali, że serwery SMB są z naturydobroduszne i nic złego stać się nie może: Outlook śmiałopobiera dokument i wyświetla go w podglądzie, bez koniecznościklikania w cokolwiek.

bECwbarr

Co się jednak dzieje w momencie pobrania zawartości dokumentuosadzonego przez OLE w mailu? Znacznie więcej, niż przy ewentualnejpróbie pobrania obrazka po HTTP(S) z serwera webowego. Otóż klientpoczty inicjuje wówczas proces uwierzytelnienia ze zdalnym serweremSMB, wykorzystując mechanizm pojedynczego logowania (single sign-on,SSO). W trakcie wysyła login, skrót hasła po protokole NTLM, adresIP, nazwę domeny i nazwę hosta.

Wystarczy podgląd maila, by napastnikowi wysłać takie dane (źródło: CERT CC)
Wystarczy podgląd maila, by napastnikowi wysłać takie dane (źródło: CERT CC)

Jak twierdziamerykański CERT, jeśli hasło Windowsa nie jest wystarczającozłożonone, napastnik może szybko złamać kryptograficzny skrót.Trudno się z tym nie zgodzić – wystarczy Kali Linux z Hashcatemczy Johnem the Ripperem i przyzwoita karta graficzna, by zrobić to wkilka godzin. Samemu odkrywcy, który miał do dyspozycji raptemjedną, niezbyt przecież mocną kartę GeForce GTX 960, złamanie8-znakowego hasła z literami tej samej wielkości zajęło 16 minut,8-znakowe hasło mieszane złamał zaś w trzy dni.

Atak na Outlooka pozwala też nie tylko na wykradzenie hasła, aleteż na zdalnewywołanie niebieskiego ekranu śmierci na systemach, które nieotrzymały łatek KB4013078 z grudnia 2017 roku. Wystarczyodpowiednio uzłośliwić serwer SMB i wysłać ofierze maila.

bECwbarx

Co na to Microsoft? Po wielu miesiącach zgłoszona przez WillaDormana została wreszcie załatana. Zainstalowanie kwietniowychpoprawek bezpieczeństwa sprawi, że Outlook nie będzie już sięautomatycznie łączył ze zdalnymi serwerami SMB. Niestety jednaknie rozwiązuje to całego problemu, bo tak naprawdę podatność niezniknęła, tylko została przykryta. Wystarczy w treści mailaumieścić link w formacie UMC (zaczynający się od ciągu \) inakłonić użytkownika do jego kliknięcia. Zainicjuje to połączeniepo SMB ze zdalnym serwerem i przekazanie tych wszystkich danych.

Jak się zabezpieczyć?

Same łatki Microsoftu nie są w tej sytuacji wystarczające.Zalecamy oczywiście zainstalowanie poprawki na lukę CVE-2018-0950 wzbiorczej paczce KB4093112, ale oprócz tego warto:

  • Zablokować na firewallu dla sieci zewnętrznej porty 445/tcp,137/tcp, 139/tcp, 137/udp i 139/udp, wstrzymując w ten sposóbwszelki ruch po protokole SMB,
  • Zablokować pojedyncze logowanie poprzez wprowadzenie do Rejestruklucza typu DWORD32 nazwie EnterpriseAccountSSO w lokalizacji HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0 iwartości 0. Szczegóły znajdziecie w poradnikuMicrosoftu(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170014).
  • Stosować mocne, co najmniej 12-znakowe hasła do Windowsa,składające się z liter, cyfr i znaków specjalnych.

Programy

Aktualizacje
Aktualizacje
Nowości
bECwbasn