พบช่องโหว่ด้านความปลอดภัยที่ได้รับการแก้ไขไปแล้วใน Microsoft Outlook ที่อาจถูกโจมตีเพื่อเข้าถึง hashed passwords ของ NT LAN Manager (NTLM) v2 เมื่อมีการเปิดไฟล์แนบที่ถูกสร้างขึ้นมาเป็นพิเศษ
ช่องโหว่นี้มีหมายเลข CVE-2023-35636 (คะแนน CVSS: 6.5) โดยได้รับการแก้ไขจาก Microsoft ไปแล้ว โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ประจำเดือนธันวาคม 2023 ที่ผ่านมา
Microsoft ระบุ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับการโจมตีจากช่องโหว่ของ Outlook ที่เพิ่งได้รับการแก้ไขไปเมื่อต้นเดือนมีนาคมที่ผ่านมา
โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-23397 (CVSS score: 9.8) เป็นช่องโหว่ระดับ Critical เกี่ยวกับการยกระดับสิทธิ์ ซึ่งถูกใช้ในการโจมตีเพื่อขโมย NT Lan Manager (NTLM) hashes โดยไม่ต้องมีการดำเนินการใด ๆ จากผู้ใช้งาน
ช่องโหว่นี้จะทำให้ Net-NTLMv2 hash ของเหยื่อถูกขโมยออกไป ซึ่งผู้โจมตีสามารถนำไปใช้กับบริการอื่น ๆ เพื่อใช้ในการยืนยันตัวตนได้
(more…)
นักวิจัยจาก MDSec บริษัทที่ปรึกษาด้านความปลอดภัย ออกมาเปิดเผยเทคนิคสำหรับการโจมตี Proof of Concept (PoC) ช่องโหว่ของ Microsoft Outlook ที่มีความรุนแรงระดับ Critical (CVE-2023-23397) ซึ่งทำให้ Hacker สามารถขโมย Hash Password ได้ เพียงแค่เหยื่อทำการเปิดอีเมล
CVE-2023-23397: Microsoft Outlook Elevation of Privilege Vulnerability Exploiting (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) โดยเป็นช่องโหว่ใน Windows NTLM ทำให้ Hacker สามารถยกระดับสิทธิ และขโมย NTLM credential ได้ เพียงแค่ส่งอีเมลที่เป็นอันตรายไปยังเป้าหมาย ขณะที่เป้าหมายใช้งาน Microsoft Outlook อยู่ก็สามารถทำการโจมตีได้ทันที ซึ่งช่องโหว่นี้ได้ส่งผลกระทบต่อ Microsoft Outlook ทุกเวอร์ชันบน Windows
Windows New technology LAN Manager (NTLM) เป็นวิธีการตรวจสอบความถูกต้องที่ใช้ในการเข้าสู่ระบบโดเมน Windows โดยใช้การเข้าสู่ระบบแบบ Hash credentials
ขณะนี้ Microsoft ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว แต่พบว่าช่องโหว่ดังกล่าวได้ถูกใช้ในการโจมตีแบบ Zero Day NTLM-relay มาตั้งแต่เดือนเมษายน 2022
การโจมตีโดยใช้ NTLM
Microsoft อธิบายว่า Hacker สามารถใช้ CVE-2023-23397 เพื่อขโมย NTLM hash ของเป้าหมาย ด้วยการส่ง MAPI property และ UNC path ไปยัง SMB (TCP 445) เพื่อเชื่อมต่อกลับไปยัง Server ของ Hacker โดยการเชื่อมต่อผ่าน SMB ออกไปยังเซิร์ฟเวอร์ภายนอกจะส่งข้อมูล NTLM negotiation message ของผู้ใช้งานออกไป ซึ่งจะสามารถทำให้ผู้โจมตีสามารถส่งต่อการ authentication กับระบบอื่น ๆ ที่รองรับการใช้งาน NTLM
ทาง Microsoft และ MDSec ได้ทำการตรวจสอบรายการข้อความใน Exchange เพื่อค้นหาร่องรอยการโจมตี โดยได้พบกับสคริปต์ “PidLidReminderFileParameter” ภายในรายการจดหมายที่ได้รับใน Exchange ซึ่งมีความสามารถในการทำให้ Microsoft Outlook เรียกไปยัง UNC path ที่อันตราย ทำให้สามารถสร้างอีเมล Outlook (.MSG) ที่เป็นอันตรายพร้อมการนัดหมายในปฏิทิน รวมไปถึงใช้ Microsoft Outlook Tasks และ Notes เพื่อโจมตีช่องโหว่ และส่ง NTLM hash ของเป้าหมาย ไปยัง Server ของ Hacker หลังจากนั้น Hacker จะนำ NTLM hash ดังกล่าวที่ขโมยมา ไปใช้ในการเข้าถึงระบบของเป้าหมายอีกครั้งหนึ่ง เมื่อเข้าถึงระบบได้แล้วก็จะทำการใช้ Impacket และ PowerShell Empire open-source framework เพื่อแพร่กระจายไปในระบบของเป้าหมายเพื่อรวบรวมข้อมูล
นอกจากนี้ยังพบว่า Hacker ได้ใช้ช่องโหว่ CVE-2023-23397 เพื่อหลีกเลี่ยงการตรวจสอบสิทธิเพื่อเชื่อมต่อออกไปยัง IP address ที่อยู่นอก Intranet Zone หรือ Trust Site อีกด้วย
การโจมตีแบบ Zero-day ที่เกี่ยวข้องกับ Hacker ชาวรัสเซีย
ช่องโหว่ CVE-2023-23397 ถูกค้นพบ และรายงานไปยัง Microsoft โดย Computer Emergency Response Team (CERT-UA) ของยูเครน โดยได้ค้นพบหลังจากการถูก Hacker ชาวรัสเซีย โจมตีด้วยช่องโหว่ดังกล่าว โดยพบว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปยังองค์กรในยุโรปหลายแห่งในภาครัฐบาล การขนส่ง พลังงาน และการทหาร
โดยทาง CERT-UA เชื่อว่ากลุ่ม Hacker ที่อยู่เบื้องหลังการโจมตีในครั้งนี้ คือกลุ่ม APT28 (ในชื่อ Strontium, Fancy Bear, Sednit, Sofacy) ซึ่งมีความเชื่อมโยงกับหน่วยงาน General Staff of the Armed Forces of the Russian Federation (GRU) ซึ่งได้คาดการณ์ว่ามีองค์กรมากถึง 15 แห่งที่ตกเป็นเป้าหมายการโจมตีโดยใช้ CVE-2023-23397 โดยพบการโจมตีครั้งล่าสุดในเดือนธันวาคม 2023
Microsoft ได้แจ้งเตือนให้ผู้ดูแลระบบให้เร่งทำการอัปเดตเพื่อป้องกันช่องโหว่ดังกล่าว รวมไปถึงทำการตรวจสอบรายการข้อความใน Exchange ว่ามาพร้อมกับ UNC path ผ่าน SMB (TCP 445) หรือไม่ เพื่อค้นหาร่องรอยการถูกโจมตี
ที่มา : bleepingcomputer
Microsoft แจ้งเตือนช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตีในลักษณะ Windows LSA spoofing ซึ่งจะทำให้ผู้โจมตีที่ไม่ต้องผ่านการตรวจสอบสิทธิ์สามารถใช้ประโยชน์จากช่องโหว่เพื่อบังคับให้ตัว Domain controllers รับรองให้ผู้โจมตีสามารถเข้าถึงระบบได้ ผ่านโปรโตคอล Windows NT LAN Manager (NTLM)
LSA (Local Security Authority) เป็นระบบหนึ่งของ Windows ที่ทำหน้าที่ในการ enforces local policies และตรวจสอบการ sign-in เข้าใช้งานของ users ทั้งจาก local และ remote
ช่องโหว่ดังกล่าว มีหมายเลขช่องโหว่คือ CVE-2022-26925 โดยมีการรายงานช่องโหว่จาก Raphael John ของ Bertelsmann Printing Group ซึ่งพบว่าถูกนำไปใช้ในการโจมตีจริงแล้วในปัจจุบัน และจะเป็นช่องทางใหม่สำหรับการโจมตีแบบ PetitPotam NTLM relay attack
การโจมตีแบบ PetitPotam ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย GILLES Lionel ในเดือนกรกฎาคม พ.ศ. 2564 โดยมีความพยายามจากทาง Microsoft ในการบล็อกการโจมตีในรูปแบบดังกล่าว อย่างไรก็ตามวิธีการแก้ไขปัญหาชั่วคราว และการอัปเดตความปลอดภัยจาก Microsoft ที่มีการอัปเดตออกมา ก็ยังไม่สามารถบล็อกการโจมตีด้วยวิธีการ PetitPotam ทั้งหมด
กลุ่ม LockFile ransomware ก็เป็นหนึ่งในกลุ่มที่ใช้วิธีการโจมตีแบบ PetitPotam NTLM relay ด้วยการ hijack ตัว Windows domains เพื่อติดตั้ง payloads ที่เป็นอันตราย
Microsoft แนะนำให้ผู้ดูแลระบบ Windows ตรวจสอบวิธีการลดผลกระทบจากการโจมตีแบบ PetitPotam และมาตรการการลดผลกระทบใน NTLM Relay Attacks บน Active Directory Certificate Services (AD CS) โดยสามารถตรวจสอบได้จากลิงค์ https://support.
Jimmy Bayne นักวิจัยด้านความปลอดภัยจาก Weekend Security ได้เปิดเผยถึงการโจมตีแบบ Pass-the-Hash โดยการใช้ Windows Theme ที่ออกแบบมาเป็นพิเศษซึ่งจะทำให้ผู้โจมตีสามารถขโมยข้อมูล Credential และสามารถเข้าสู่ระบบ Windows ได้
เทคนิคการโจมตีแบบ Pass-the-Hash นั้นจะใช้เพื่อทำการขโมยข้อมูลบัญชีผู้ใช้และแฮชรหัสผ่านของ Windows โดยหลอกให้ผู้ใช้เข้าถึง SMB share จากระยะไกลที่ต้องมีการตรวจสอบสิทธิ์ เมื่อมีการพยายาม Remote เพื่อเข้าถึง Windows จะเข้าสู่ระบบโดยอัตโนมัติ โดยจะส่งชื่อบัญชีล็อกอินของผู้ใช้ Windows และแฮช NTLM ของรหัสผ่านกลับไปและจะทำให้ผู้โจมตีสามารถรวบรวมข้อมูล Credential และสามารถเข้าสู่ระบบ Windows ได้
เพื่อเป็นการป้องกันไฟล์ Theme ที่เป็นอันตราย Bayne ได้แนะนำให้ผู้ใช้ทำการปิดส่วนที่เกี่ยวข้องกับ Extensions ของ theme เช่น .theme, .themepack และ .desktopthemepackfile และโปรแกรมอื่นๆที่เกี่ยวข้อง ซึ่งการปิดส่วนนี้จะทำให้ฟีเจอร์ Windows 10 Themes ไม่สามาารถใช้งานได้ผู้ใช้ต้องทำการพิจารณาในการปิดใช้งานฟีเจอร์นี้ ทั้งนี้ผู้ใช้ Windows สามารถกำหนดค่า group policy ที่ชื่อ ‘Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers’ และตั้งค่าเป็น ' Deny All ' เพื่อป้องกันไม่ให้ส่ง NTLM Credential ไปยัง Remote host และเพื่อป้องกันการรั่วไหลของ Credential บัญชีผู้ใช้
ที่มา: bleepingcomputer.
Microsoft ออกแพตช์ประจำเดือนมิถุนายน 2019 แก้ไขช่องโหว่กว่า 90 ช่องโหว่ รวมถึง 2 ช่องโหว่ในระดับ Critical ที่มีผลกระทบกับโปรโตคอล NTLM
CVE-2019-1040 และ CVE-2019-1019 คือช่องโหว่ภายใน NTLM ที่ทำให้ผู้โจมตีข้ามกลไกการตรวจสอบสิทธิ์ของ NTLM ได้ โดยมีผลกระทบต่อ windows ทุกรุ่น ผู้โจมตีที่ใช้งานช่องโหว่นี้จะสามารถรันโค้ดอันตรายบนเครื่อง windows หรือเข้าถึง HTTP server ที่รองรับ Windows Integrated Authentication (WIA) ซึ่งจะรวมถึง Exchange และ ADFS
NTLM นั่นอาจถูกโจมตีจาก relay attacks ได้ ทำให้ Microsoft เพิ่มกลไกในการป้องกันการโจมตีดังกล่าว แต่นักวิจัยจาก Preempt พบวิธีที่จะข้ามกลไกการป้องกันได้แก่ Message Integrity Code (MIC) SMB Session Signing และ Enhanced Protection for Authentication (EPA) ได้ ทำให้สามารถทำการโจมตีด้วย relay attacks สำเร็จได้
ผู้ใช้ควรทำการ update แพตช์ให้เป็นปัจจุบัน ทำการตั้งค่าบนเครื่อง server ให้ปลอดภัย ได้แก่บังคับใช้SMB Signing, บล็อก NTLMv1, บังคับใช้ LDAP/S Signing และบังคับใช้ EPA และลดการใช้งาน NTLM ในส่วนที่ไม่จำเป็น
ที่มา:securityweek