Уязвимость в Outlook позволяет считывать данные пользователя

Уязвимость в Outlook позволяет считывать данные пользователя

Уязвимость в Microsoft Outlook позволяет злоумышленникам узнать пользовательские данные благодаря просмотру RTF документа, который содержит OLE файл. Уязвимость нашел исследователь CERT Уилл Дорман еще в 2016 году.

Исследователи CERT нашли уязвимость (CVE-2018-0950) в протоколах Windows OLE (Object Linking and Embedding) и SMB (Server Message Block). OLE - это протокол Windows, который позволяет приложениям обмениваться данными. Например, OLE позволяет автору документа вставлять контент, такой как изображения и звуки, из программ в документы Microsoft Office как объекты. Дорман выяснил, что лазейка для злоумышленников лежала через протокол Windows SMB (Server Message Block), который позволяет просматривать документы на удаленном сервере, без его загрузки на локальный диск. При просмотре документа в письме протокол не запрашивал разрешения на открытие объектов внутри документа. Это обеспечивало открытие OLE файла сразу после просмотра RTF документа.

“Если пользователь откроет текстовый документ (RTF) в Microsoft Outlook, то злоумышленник может получить IP-адрес жертвы, имя домена, имя пользователя, имя хоста, а также хеш пароля” - сообщает Дорман.

Microsoft уже давно пытается предотвратить автоматическую загрузку изображений в Outlook из-за риска возникновения ошибок, в результате которых может произойти утечка конфиденциальной информации. Такие баги иногда называют сигнальными маяками. Они используются почтовыми сендерами для сбора метаданных получателей, таких как IP-адрес системы и время просмотра сообщения. Дорман, используя SMB-соединение для передачи OLE файла в документе RTF, нашел способ узнать метаданные получателя: он, используя Wireshark, бесплатный анализатор с открытым исходным кодом, смог идентифицировать IP-адрес жертвы, имя домена, имя пользователя и хеш-пароль Microsoft LAN Manager (NTLMv2). 

Апрельские патчи Microsoft частично решили проблему с уязвимостью: патч CVE-2018-0950 не позволяет Outlook автоматически запускать SMB-соединения при просмотре в письме документа RTF. Однако, исследователи CERT утверждают, что проблема доступа OLE файла к пользовательским данным осталась.

“К примеру, если электронное письмо содержит ссылку UNC, Outlook автоматически сделает эту ссылку доступной. Если пользователь нажимает на такую ссылку, воздействие может оказаться таким же, как и с этой уязвимостью“, - предупреждает CERT.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Между атакующими Украину вайперами (NotPetya и WhisperGate) нашли сходства

Эксперты проанализировали вредонос-вайпер, который недавно атаковал более десяти государственных сайтов Украины. Как отметили специалисты, им удалось найти «стратегические сходства» этого зловреда с NotPetya, который атаковал инфраструктуру Украины в 2017 году.

Напомним, что вредоносная программа, замеченная недавно в атаках на госсайты, получила название WhisperGate. На эту киберкампанию указала Microsoft, присвоив операторам кодовое имя «DEV-0586».

«У вайперов WhisperGate и NotPetya есть определённые стратегические сходства — например, маскировка под программу вымогатель, а также намеренное уничтожение главной загрузочной записи (master boot record, MBR) вместо её шифрования. Тем не менее современный вредонос располагает гораздо большим числом компонентов для деструктивной деятельности», — пишет Cisco Talos в отчёте.

Помимо этого, исследователи отметили, что в последней атаке, скорее всего, использовались украденные учётные данные. До запуска вредоносной активности киберпреступники месяцами присутствовали в сети жертв — классический признак сложной кибероперации (APT).

 

Цепочка заражения WhisperGate представляет собой многоступенчатый процесс, при котором загружается специальная вредоносная составляющая, стирающая MBR. Далее в систему  помещается вредоносная библиотека DLL, хранящаяся на сервере Discord, её цель — запустить ещё один вайпер, который уже уничтожает файлы (перезаписывает их содержимое мусорными данными).

Само собой, отдельные исследователи усмотрели в атаках WhisperGate действия знаменитых «российских хакеров». Доказательствами такие специалисты, конечно же, пока не делятся, как это обычно и бывает.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru