Появиха се технически подробности за два вече поправени недостатъка в сигурността на Microsoft Windows, които могат да бъдат използвани от заплахи, за да постигнат отдалечено изпълнение на код в услугата за електронна поща Outlook без никакво взаимодействие с потребителя.
„Атакуващ в интернет може да свърже уязвимостите заедно, за да създаде пълен експлойт за дистанционно изпълнение на код (RCE) с нулево кликване срещу клиенти на Outlook“, казва изследователят по сигурността на Akamai Бен Барнеа, който е открил уязвимостите, в доклад в две части, споделен с The Hacker News.
Проблемите със сигурността, които бяха отстранени от Microsoft съответно през август и октомври 2023 г., са изброени по-долу –
- CVE-2023-35384 (CVSS оценка: 5.4) – уязвимост за заобикаляне на функцията за сигурност на Windows HTML Platforms
- CVE-2023-36710 (CVSS оценка: 7,8) – уязвимост при отдалечено изпълнение на код в ядрото на Windows Media Foundation
- CVE-2023-35384 е описана от Akamai като заобикаляне на критичен недостатък в сигурността, който Microsoft закърпи през март 2023 г. Проследяван като CVE-2023-23397 (CVSS оценка: 9,8), недостатъкът е свързан със случай на повишаване на привилегиите, който може да доведе до кражба на NTLM пълномощни и да даде възможност на нападателя да извърши атака чрез предаване.
По-рано този месец Microsoft, Proofpoint и Palo Alto Networks Unit 42 разкриха, че руски участник в заплахата, известен като APT29, активно е използвал бъга, за да получи неоторизиран достъп до акаунтите на жертвите в сървърите на Exchange.
Струва си да се отбележи, че CVE-2023-35384 е и вторият заобиколен пач след CVE-2023-29324, който също беше открит от Barnea и впоследствие поправен от Redmond като част от актуализациите за сигурност през май 2023 г.
„Открихме още едно заобикаляне на оригиналната уязвимост на Outlook – заобикаляне, което отново ни позволи да принудим клиента да се свърже с контролиран от атакуващия сървър и да изтегли злонамерен звуков файл“, каза Барнеа.
CVE-2023-35384, както и CVE-2023-29324, се корени в парсирането на път от функцията MapUrlToZone, което може да бъде използвано чрез изпращане на имейл, съдържащ злонамерен файл или URL адрес, до клиент на Outlook.
„Уязвимост за заобикаляне на функцията за сигурност съществува, когато платформата MSHTML не успява да потвърди правилната зона за сигурност на заявките за определени URL адреси. Това може да позволи на нападател да накара потребител да получи достъп до URL адрес в по-малко ограничена от предвиденото Зона за сигурност на интернет“, отбелязва Microsoft в своята консултация.
По този начин уязвимостта може да се използва не само за изтичане на NTLM пълномощни, но и да се свърже верижно с дефекта в парсирането на звук (CVE-2023-36710), за да се изтегли потребителски звуков файл, който при автоматично възпроизвеждане с помощта на звуковата функция за напомняне на Outlook може да доведе до изпълнение на код с нулево щракване върху машината на жертвата.
CVE-2023-36710 въздейства върху компонента Audio Compression Manager (ACM), наследена мултимедийна рамка на Windows, която се използва за управление на аудио кодеци, и е резултат от уязвимост с препълване на цяло число, която възниква при възпроизвеждане на WAV файл.
„Накрая успяхме да задействаме уязвимостта, като използвахме кодека IMA ADP“, обясни Barnea. „Размерът на файла е приблизително 1,8 GB. Извършвайки математическата операция за ограничаване на изчисленията, можем да заключим, че най-малкият възможен размер на файла с кодека IMA ADP е 1 GB.“
За да се намалят рисковете, се препоръчва организациите да използват микросегментация, за да блокират изходящите SMB връзки към отдалечени публични IP адреси. Освен това се препоръчва и да се деактивира NTLM или да се добавят потребители към групата за сигурност Protected Users, която предотвратява използването на NTLM като механизъм за удостоверяване.
Източник: e-security.bg