นักวิจัยพบช่องโหว่ของ Outlook ทำให้รหัสผ่าน NTLM ของผู้ใช้รั่วไหลได้

พบช่องโหว่ด้านความปลอดภัยที่ได้รับการแก้ไขไปแล้วใน Microsoft Outlook ที่อาจถูกโจมตีเพื่อเข้าถึง hashed passwords ของ NT LAN Manager (NTLM) v2 เมื่อมีการเปิดไฟล์แนบที่ถูกสร้างขึ้นมาเป็นพิเศษ

ช่องโหว่นี้มีหมายเลข CVE-2023-35636 (คะแนน CVSS: 6.5) โดยได้รับการแก้ไขจาก Microsoft ไปแล้ว โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ประจำเดือนธันวาคม 2023 ที่ผ่านมา

Microsoft ระบุในคำแนะนำที่เผยแพร่เมื่อเดือนที่แล้วว่า “ในสถานการณ์การโจมตีผ่านทางอีเมล ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวโดยการส่งไฟล์ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังผู้ใช้ และโน้มน้าวให้ผู้ใช้เปิดไฟล์แนบดังกล่าว”

“ส่วนในสถานการณ์การโจมตีผ่านทางเว็บไซต์ ผู้โจมตีอาจโฮสต์เว็บไซต์ หรือใช้ประโยชน์จากเว็บไซต์ที่ถูกโจมตี แล้วอัปโหลดไฟล์ที่สร้างขึ้นมาเป็นพิเศษ ซึ่งถูกออกแบบมาเพื่อใช้ประโยชน์จากช่องโหว่ดังกล่าว”

โดยผู้โจมตีจะโน้มน้าวให้ผู้ใช้คลิกลิงก์ที่อยู่ในอีเมลฟิชชิง หรือส่งทางข้อความ instant message จากนั้นจะหลอกให้ผู้ใช้เปิดไฟล์ที่เกี่ยวข้อง

ช่องโหว่ CVE-2023-35636 อยู่ในฟังก์ชันการแชร์ปฏิทินในแอปพลิเคชันอีเมล Outlook โดยข้อความอีเมลที่เป็นอันตรายจะถูกสร้างขึ้นโดยการแทรก Two-headers "Content-Class" และ "x-sharing-config-url" ด้วยค่าที่ถูกสร้างขึ้นตามคำสั่งเพื่อเปิดเผย hash NTLM ของเหยื่อในระหว่างการ authentication

Dolev Taler นักวิจัยด้านความปลอดภัยของ Varonis ได้รับเครดิตในการค้นพบ และรายงานช่องโหว่ดังกล่าว โดยเขาระบุว่า NTLM Hashes อาจถูกทำให้รั่วไหลได้โดยการใช้ประโยชน์จาก Windows Performance Analyzer (WPA) และ Windows File Explorer อย่างไรก็ตาม วิธีการโจมตีทั้งสองวิธีนี้ยังคงไม่ได้รับการแก้ไขจาก Microsoft

Taler ระบุเพิ่มเติมว่า “สิ่งที่ทำให้วิธีการนี้น่าสนใจก็คือ WPA พยายามตรวจสอบสิทธิ์โดยใช้ NTLM v2 ผ่านทาง open web”

"โดยปกติแล้ว NTLM v2 ควรใช้เมื่อพยายามตรวจสอบสิทธิ์กับบริการที่ใช้ที่อยู่ IP ภายใน อย่างไรก็ตามเมื่อแฮชของ NTLM v2 ผ่านอินเทอร์เน็ต ก็มีความเสี่ยงที่จะถูกส่งต่อ และนำมาใช้ในการโจมตีแบบ brute-force แบบออฟไลน์ได้"

Check Point ก็ได้เปิดเผยกรณี 'Forced Authentication' ที่อาจเป็นเครื่องมือเพื่อทำให้ Token NTLM ของผู้ใช้ Windows รั่วไหลได้ โดยจะหลอกให้เหยื่อเปิดไฟล์ Microsoft Access ที่เป็นอันตราย

ในเดือนตุลาคม พ.ศ. 2023 Microsoft ได้ประกาศแผนการยุติการใช้ NTLM ใน Windows 11 เพื่อปรับปรุงความปลอดภัย เนื่องจากยังไม่มีวิธีรองรับการเข้ารหัส และอาจเสี่ยงต่อการถูกการโจมตีได้

 

ที่มา : thehackernews