abril 2018 Patch Tuesday foi lançada. Contém 66 correções de segurança para vulnerabilidades. Uma das manchas mais intrigantes envolve uma falha mais velhos Microsoft Outlook que foi relatada pela primeira vez em 2016.
Contudo, de acordo com Will Dormann, o analista de vulnerabilidade do CERT que o divulgou, o patch recém-lançado não está completo e precisa de mais soluções alternativas. O bug em questão é CVE-2018-0950.
O que é CVE-2018-0950?
O Microsoft Outlook recuperará automaticamente o conteúdo OLE remoto quando um e-mail RTF for visualizado. Quando o conteúdo OLE remoto é hospedado em um servidor SMB / CIFS, o sistema do cliente Windows tentará se autenticar com o servidor usando logon único (SSO). Isso pode vazar o endereço IP do usuário, nome do domínio, nome do usuário, nome de anfitrião, e hash de senha. Se a senha do usuário não for complexa o suficiente, então um invasor pode ser capaz de quebrar a senha em um curto espaço de tempo.
O Microsoft Outlook recuperará automaticamente o conteúdo OLE remoto quando um e-mail RTF for visualizado. Quando o conteúdo OLE remoto é hospedado em um servidor SMB / CIFS, o sistema do cliente Windows tentará se autenticar com o servidor usando logon único (SSO). Isso pode vazar o endereço IP do usuário, nome do domínio, nome do usuário, nome de anfitrião, e hash de senha. Se a senha do usuário não for complexa o suficiente, então um invasor pode ser capaz de quebrar a senha em um curto espaço de tempo.
O pesquisador acredita que o maior problema com esse bug é que o Outlook renderiza automaticamente o conteúdo de objetos OLE remotos (Vinculação e incorporação de objetos) incorporado em e-mails com formatação avançada sem primeiro avisar o usuário. Esta atividade está associada a outros produtos do Microsoft Office, como o Word, PowerPoint e Excel, e se tornou um vetor de ataque comum para agentes mal-intencionados.
O analista de vulnerabilidade avaliou que o bug pode ser explorado para roubar senhas de contas de usuários, ou mais especificamente hashes NTLM. Ele realizou a exploração bem-sucedida enviando um e-mail para uma conta do Outlook que tinha um objeto OLE incorporado, fazer solicitações a um servidor SMB remoto de natureza maliciosa. Por padrão, o computador Windows de destino tentaria se autenticar neste servidor SMB remoto e malévolo, compartilhando o hash NTLM do usuário, o pesquisador descobriu.
É muito fácil para um invasor tirar vantagem desse vetor de ataque - simplesmente coletando os hashes, em seguida, quebrá-los offline, e aproveitá-los para se infiltrar no sistema da vítima. Outros componentes da rede interna também podem ser afetados.
Qual é o problema com o patch da Microsoft?
Pelo visto, a empresa abordou a vulnerabilidade apenas parcialmente corrigindo o vetor de ataque SMB. O pesquisador informou a Microsoft sobre o problema associado ao OLE decorrente do CVE-2018-0950 em novembro 2016. 18 meses depois, A Microsoft finalmente lançou um patch em abril 2018 patch Tuesday, mas ao que parece, o patch só corrige o problema no meio do caminho. O cerne do problema permanece sem solução.
Não obstante, a remendo para esta vulnerabilidade ainda é crucial e deve ser aplicada imediatamente.
Quanto às soluções alternativas:
1. Bloqueie as conexões SMB de entrada e saída na fronteira da sua rede;
2. Bloquear logon único NTLM (SSO) autenticação;
3. Use senhas complexas.
Mais detalhes estão disponíveis no comunicado Publicados no banco de dados de notas de vulnerabilidade do CERT.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: