Abril 2018 Martes de parches se ha desplegado. Contiene 66 parches de seguridad para las vulnerabilidades. Uno de los parches más intrigantes implica un defecto mayor Microsoft Outlook que se informó por primera vez en 2016.
Sin embargo, de acuerdo a Will Dormann, el analista de la vulnerabilidad al CERT que reveló que, el parche recién publicado no es completa y que necesita más soluciones. El fallo en cuestión es CVE-2018 a 0.950.
¿Qué es el CVE-2018 a 0.950?
Microsoft Outlook recuperará automáticamente el contenido OLE remoto cuando se ve de antemano un correo electrónico RTF. Cuando el contenido de OLE remoto está alojado en un servidor SMB / CIFS, el sistema cliente Windows intentará autenticarse con el servidor mediante inicio de sesión único (SSO). Esto puede filtrarse la dirección IP del usuario, nombre de dominio, nombre de usuario, nombre de host, y hash de la contraseña. Si la contraseña del usuario no es lo suficientemente compleja, entonces un atacante puede ser capaz de romper la clave en un corto período de tiempo.
Microsoft Outlook recuperará automáticamente el contenido OLE remoto cuando se ve de antemano un correo electrónico RTF. Cuando el contenido de OLE remoto está alojado en un servidor SMB / CIFS, el sistema cliente Windows intentará autenticarse con el servidor mediante inicio de sesión único (SSO). Esto puede filtrarse la dirección IP del usuario, nombre de dominio, nombre de usuario, nombre de host, y hash de la contraseña. Si la contraseña del usuario no es lo suficientemente compleja, entonces un atacante puede ser capaz de romper la clave en un corto período de tiempo.
El investigador cree que el mayor problema con este error es que Outlook convierte automáticamente el contenido de los objetos OLE remotos (Object Linking and Embedding) incrustado dentro ricos correos electrónicos con formato sin preguntar al usuario en primer. Esta actividad se asocia con otros productos de Microsoft Office como Word, PowerPoint y Excel, y se ha convertido en un vector de ataque común para los actores maliciosos.
El analista de la vulnerabilidad evaluó que el fallo podría ser aprovechado para robar contraseñas de cuentas de usuario, o hashes más específicamente NTLM. Se llevó a cabo explotar el éxito mediante el envío de un correo electrónico a una cuenta de Outlook que tenía un objeto OLE incrustado, hacer peticiones a un servidor remoto SMB de naturaleza maliciosa. Por defecto, el equipo de Windows dirigida trataría de autenticación en este servidor SMB remoto y malévola mediante el intercambio de hash NTLM del usuario, el investigador descubrió.
Es bastante fácil para un atacante tomar una ventaja de este tipo de ataque - simplemente recoger los hashes, a continuación, el agrietamiento fuera de línea, y el aprovechamiento de ellos para infiltrarse en el sistema de la víctima. Otros componentes de la red interna también podrían verse afectadas.
Cuál es el problema con el parche de Microsoft?
Al parecer,, la empresa se dirigió a la vulnerabilidad sólo parcialmente por un parche en el vector de ataque SMB. El investigador informó a Microsoft sobre el problema asociado-OLE derivada de CVE-2.018 hasta 0.950 en noviembre 2016. 18 meses después, Microsoft finalmente ha publicado un parche en abril 2018 Martes de parches, pero como resulta, la revisión sólo corrige el problema a medio camino. El núcleo del problema sigue sin resolverse.
No obstante, la parche para esta vulnerabilidad sigue siendo crucial y debe aplicarse inmediatamente.
En cuanto a las soluciones:
1. Bloquear las conexiones entrantes y salientes SMB en su frontera con la red;
2. Bloquear NTLM inicio de sesión único (SSO) autenticación;
3. Utilice contraseñas complejas.
Más detalles están disponibles en el aviso publicado en la base de datos de notas de vulnerabilidad del CERT.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: