Em março, a Microsoft corrigiu uma vulnerabilidade interessante no Outlook que criminosos exploravam para vazar as credenciais do Windows das vítimas. Esta semana, a gigante de TI corrigiu essa correção como parte de sua atualização mensal de terça-feira.
Para lembrá-lo do erro original, ele foi rastreado como CVE-2023-23397: era possível enviar um e-mail a alguém com um lembrete com um som de notificação personalizado. Esse áudio personalizado pode ser especificado como um caminho de URL no e-mail.
Se a pessoa errada elaborou um e-mail cuidadosamente com esse caminho de áudio definido para um servidor SMB remoto, quando o Outlook buscar a mensagem e processá-la, rastreando automaticamente o caminho para o servidor de arquivos, ele entregará um hash Net-NTLMv2 ao usuário que está tentando Conecte-se. Isso efetivamente vazará o hash para uma parte externa, que poderia usar as credenciais para acessar outros recursos como esse usuário, permitindo que hackers explorem sistemas de rede interna, roubem documentos, representem sua vítima e assim por diante.
O patch de dois meses atrás fez o Outlook usar a funcionalidade do Windows MapUrlToZone Para verificar para onde realmente aponta a trilha sonora de notificação, se estiver online ela será ignorada e o som padrão será reproduzido. Isso deveria ter impedido que o cliente se conectasse a um servidor remoto e vazasse hashes.
Acontece que a proteção baseada em MapUrlToZone pode ser ignorada, o que levou a Microsoft a apoiar uma correção para ela em março e maio. O bug original foi explorado na natureza e, assim, quando seu patch pousou, chamou a atenção de todos. Esse interesse ajudou a revelar que a reforma estava incompleta.
E se deixado incompleto, qualquer um que abusar do bug original pode usar a outra vulnerabilidade para contornar o patch original. Para ser claro, não é que a correção CVE-2023-23397 não funcionou – funcionou – não foi suficiente para fechar completamente o buraco do arquivo de áudio personalizado.
Essa vulnerabilidade é outro exemplo de verificação de patch que leva a novas vulnerabilidades e abusos. Ele disse Ben Parnia da Akamai, que detectou e relatou o estouro de MapUrlToZone.
Especificamente para esta vulnerabilidade, adicionar um único caractere permite que um patch crítico seja ignorado.
Crucialmente, enquanto o primeiro bug foi com o Outlook, este segundo problema com MapUrlToZone está na implementação da Microsoft dessa funcionalidade na API do Windows. Parnia escreve que isso significa que o segundo patch não é para o Outlook, mas para a plataforma MSHTML subjacente no Windows, e que todas as versões do sistema operacional são afetadas por esse bug. O problema é que a rota gerada de forma maliciosa pode ser passada para MapUrlToZone para que a função determine que a rota não é para a internet externa quando na verdade é quando o aplicativo vem abrir a rota.
De acordo com Barnea, os e-mails podem conter um lembrete que inclui um som de notificação personalizado especificado como um caminho usando uma propriedade MAPI estendida usando PidLidReminderFileParameter.
“Um invasor pode especificar um caminho UNC que faria com que o cliente recuperasse o arquivo de áudio de qualquer servidor SMB”, explicou. Como parte da conexão com o servidor SMB remoto, um hash Net-NTLMv2 é enviado em uma mensagem de negociação.
Essa falha foi ruim o suficiente para obter uma classificação de gravidade do CVSS de 9,8 em 10 e foi explorada por uma equipe com destino à Rússia por cerca de um ano quando a correção foi lançada em março. A gangue cibernética o usou em ataques contra organizações de governos europeus, transporte, energia e espaços militares.
Para encontrar um desvio para o patch original da Microsoft, Barnea queria criar uma rota que MapUrlToZone rotularia como local, intranet ou zona confiável – o que significa que o Outlook poderia segui-la com segurança – mas, quando passada para a função CreateFile para abri-la, faria o OS vá para se conectar a um servidor remoto.
Eventualmente, ele descobriu que os bastardos podiam alterar a URL em lembretes, o que enganou o MapUrlToZone para verificar se os caminhos remotos eram vistos como caminhos locais. Isso pode ser feito com um único pressionamento de tecla, adicionando um segundo “\” ao caminho UNC (Universal Naming Convention).
“Um invasor não autenticado na Internet pode usar a vulnerabilidade para forçar um cliente Outlook a se conectar a um servidor controlado pelo invasor”, escreveu Parnia. “Isso resulta no roubo de credenciais NTLM. É uma vulnerabilidade não clicável, o que significa que pode ser executada sem interação do usuário”.
Ele acrescentou que o problema parece ser “o resultado do tratamento complexo de caminhos no Windows. … Acreditamos que esse tipo de confusão pode causar vulnerabilidades em outros programas que usam MapUrlToZone em um caminho controlado pelo usuário e, em seguida, usam uma operação de arquivo (como CreateFile ou aplicativos semelhantes à API) no mesmo caminho.”
falha, CVE-2023-29324Ele tem uma pontuação de gravidade CVSS de 6,5. A Microsoft recomenda organizações Reparar Tanto esta vulnerabilidade – um patch foi lançado como parte do Patch Tuesday desta semana – quanto o CVE-2023-23397 anterior.
Parnia escreveu que espera que a Microsoft remova o recurso de som de lembrete personalizado, dizendo que representa mais riscos de segurança do que qualquer valor potencial para os usuários.
“É uma superfície de ataque de análise de mídia sem clique que pode conter vulnerabilidades críticas de corrupção de memória”, escreveu ele. “Dado o quão onipresente o Windows é, eliminar uma superfície de ataque tão madura quanto esta pode ter alguns efeitos muito positivos.” ®
“Estudante amigável. Jogador certificado. Evangelista de mídia social. Fanático pela Internet. Cai muito. Futuro ídolo adolescente.”