Уязвимость в Outlook позволяет считывать данные пользователя

Уязвимость в Outlook позволяет считывать данные пользователя

Уязвимость в Microsoft Outlook позволяет злоумышленникам узнать пользовательские данные благодаря просмотру RTF документа, который содержит OLE файл. Уязвимость нашел исследователь CERT Уилл Дорман еще в 2016 году.

Исследователи CERT нашли уязвимость (CVE-2018-0950) в протоколах Windows OLE (Object Linking and Embedding) и SMB (Server Message Block). OLE - это протокол Windows, который позволяет приложениям обмениваться данными. Например, OLE позволяет автору документа вставлять контент, такой как изображения и звуки, из программ в документы Microsoft Office как объекты. Дорман выяснил, что лазейка для злоумышленников лежала через протокол Windows SMB (Server Message Block), который позволяет просматривать документы на удаленном сервере, без его загрузки на локальный диск. При просмотре документа в письме протокол не запрашивал разрешения на открытие объектов внутри документа. Это обеспечивало открытие OLE файла сразу после просмотра RTF документа.

“Если пользователь откроет текстовый документ (RTF) в Microsoft Outlook, то злоумышленник может получить IP-адрес жертвы, имя домена, имя пользователя, имя хоста, а также хеш пароля” - сообщает Дорман.

Microsoft уже давно пытается предотвратить автоматическую загрузку изображений в Outlook из-за риска возникновения ошибок, в результате которых может произойти утечка конфиденциальной информации. Такие баги иногда называют сигнальными маяками. Они используются почтовыми сендерами для сбора метаданных получателей, таких как IP-адрес системы и время просмотра сообщения. Дорман, используя SMB-соединение для передачи OLE файла в документе RTF, нашел способ узнать метаданные получателя: он, используя Wireshark, бесплатный анализатор с открытым исходным кодом, смог идентифицировать IP-адрес жертвы, имя домена, имя пользователя и хеш-пароль Microsoft LAN Manager (NTLMv2). 

Апрельские патчи Microsoft частично решили проблему с уязвимостью: патч CVE-2018-0950 не позволяет Outlook автоматически запускать SMB-соединения при просмотре в письме документа RTF. Однако, исследователи CERT утверждают, что проблема доступа OLE файла к пользовательским данным осталась.

“К примеру, если электронное письмо содержит ссылку UNC, Outlook автоматически сделает эту ссылку доступной. Если пользователь нажимает на такую ссылку, воздействие может оказаться таким же, как и с этой уязвимостью“, - предупреждает CERT.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Российский киберпреступный форум Maza (Mazafaka) стал жертвой утечки

Один из старейших российских форумов для киберпреступников допустил взлом и утечку данных зарегистрированных пользователей. Речь идёт о площадке Maza, ранее известной как Mazafaka, которая активна в Сети по меньшей мере с 2003 года.

Maza — закрытый форум для русскоговорящих киберпреступников. Активность зарегистрированных на нём хакеров связывают с продажей данных банковских карт, украденных у граждан.

Известно, что на площадке часто обсуждались вредоносные программы, эксплойты, схемы спамерских рассылок, способы отмывания денег и тому подобное. Об утечке, затронувшей участников Maza, сообщили специалисты компании Flashpoint.

Как только неким злоумышленникам удалось скомпрометировать Maza, они разместили сообщение, в котором предупреждали администраторов, что их форум был взломан, а данные пользователей похищены.

 

Оказалось, что в руки атакующих попали идентификаторы и имена пользователей, адреса их электронной почты, ссылки на аккаунты в мессенджерах (Skype, MSN и Aim), а также пароли (хешированные и обфусцированные).

Интересно отметить, как восприняли информацию об утечке сами пользователи. Согласно сообщениям, одни заявили, что планируют найти другую площадку вместо Maza, другие же заявили, что скомпрометированная база данных на сегодняшний день «старая и неактуальная» (по другим сообщениям — «неполная»).

Специалисты Flashpoint подчеркнули, что пока не знают, кто стоит за взломом Maza, однако можно сделать вывод, что это зарубежные киберпреступники. К такому заключению эксперты пришли после изучения записки злоумышленников, которая явно была написана онлайн-переводчиком.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru