Корпорація Microsoft оприлюднила вразливість високого ступеня серйозності, що впливає на Office 2016, яка може відкрити хеші NTLM для віддаленого зловмисника. Про це повідомляє Bleeping Computer.
Помилка безпеки, яка відстежується як CVE-2024-38200, спричинена слабкістю розкриття інформації, яка дозволяє неавторизованим особам отримати доступ до захищеної інформації.
Це впливає на кілька 32-розрядних і 64-розрядних версій Office, зокрема Office 2016, Office 2019, Office LTSC 2021 і Microsoft 365 Apps for Enterprise.
«У сценарії вебатаки зловмисник може розмістити вебсайт або використати скомпрометований вебсайт, який приймає або розміщує наданий користувачами вміст, що містить спеціально створений файл, призначений для використання вразливості. Зловмисник має переконати користувача натиснути посилання, як правило, за допомогою пропозиції, надісланої в електронному листі чи повідомленні Instant Messenger, і потім відкрити спеціально створений файл», — пояснили у Microsoft.
Компанія розробляє оновлення безпеки для усунення цієї помилки, але ще не оголосила дату випуску.
У Microsoft поділилися додатковою інформацією про недолік CVE-2024-38200, заявивши, що випустили виправлення через Feature Flighting 30.07.2024.
«Клієнти вже захищені в усіх версіях Microsoft Office і Microsoft 365, які підтримуються. Однак клієнти все одно повинні встановити оновлення до 13 серпня 2024 року, щоб отримати остаточну версію виправлення», — йдеться у повідомленні.
Також зазначено, що цей недолік можна пом’якшити шляхом блокування вихідного трафіку NTLM до віддалених серверів.
Вихідний трафік NTLM можна заблокувати за допомогою таких методів:
- Налаштування безпеки мережі: обмеження NTLM: групова політика вихідного трафіку NTLM до віддалених серверів для дозволу, блокування або аудиту вихідного трафіку NTLM від комп’ютера під керуванням Windows 7, Windows Server 2008 або пізнішої версії до будь-якого віддаленого сервера під керуванням операційної системи Windows.
- Додавання користувачів до групи безпеки Protected Users, яка обмежує використання NTLM як механізму автентифікації.
- Блокування всього вихідного трафіку на TCP-порт 445.
У корпорації наголосили, що використання будь-якого з цих засобів пом’якшення може запобігти законному доступу до віддалених серверів, які покладаються на автентифікацію NTLM.
Хоча Microsoft не надала жодних додаткових відомостей про вразливість, ця інструкція вказує на те, що недолік можна використовувати для примусового встановлення вихідного підключення NTLM. Наприклад, до спільного ресурсу SMB на сервері зловмисника.
Якщо це трапляється, Windows надсилає хеші користувача NTLM, включаючи хешований пароль, який зловмисник може викрасти. Ці хеші можна зламати, даючи змогу зловмисникам отримати доступ до імен для входу та відкритих текстових паролів.
Хеші NTLM також можна використовувати в атаках NTLM Relay, як це було раніше з атаками ShadowCoerce, DFSCoerce, PetitPotam і RemotePotato0, щоб отримати доступ до інших ресурсів у мережі.
Раніше ми повідомляли, що багатогодинний збій, який призвів до зупинки роботи кількох служб Microsoft 365 та Azure по всьому світу, був спричинений розподіленою атакою типу «Відмова в обслуговуванні» (DDoS).
Читайте також на ProIT: На ядро Linux вплинула нова крос-кеш-атака SLUBStick.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!