Уязвимость в Outlook позволяет считывать данные пользователя

Уязвимость в Outlook позволяет считывать данные пользователя

Уязвимость в Outlook позволяет считывать данные пользователя

Уязвимость в Microsoft Outlook позволяет злоумышленникам узнать пользовательские данные благодаря просмотру RTF документа, который содержит OLE файл. Уязвимость нашел исследователь CERT Уилл Дорман еще в 2016 году.

Исследователи CERT нашли уязвимость (CVE-2018-0950) в протоколах Windows OLE (Object Linking and Embedding) и SMB (Server Message Block). OLE - это протокол Windows, который позволяет приложениям обмениваться данными. Например, OLE позволяет автору документа вставлять контент, такой как изображения и звуки, из программ в документы Microsoft Office как объекты. Дорман выяснил, что лазейка для злоумышленников лежала через протокол Windows SMB (Server Message Block), который позволяет просматривать документы на удаленном сервере, без его загрузки на локальный диск. При просмотре документа в письме протокол не запрашивал разрешения на открытие объектов внутри документа. Это обеспечивало открытие OLE файла сразу после просмотра RTF документа.

“Если пользователь откроет текстовый документ (RTF) в Microsoft Outlook, то злоумышленник может получить IP-адрес жертвы, имя домена, имя пользователя, имя хоста, а также хеш пароля” - сообщает Дорман.

Microsoft уже давно пытается предотвратить автоматическую загрузку изображений в Outlook из-за риска возникновения ошибок, в результате которых может произойти утечка конфиденциальной информации. Такие баги иногда называют сигнальными маяками. Они используются почтовыми сендерами для сбора метаданных получателей, таких как IP-адрес системы и время просмотра сообщения. Дорман, используя SMB-соединение для передачи OLE файла в документе RTF, нашел способ узнать метаданные получателя: он, используя Wireshark, бесплатный анализатор с открытым исходным кодом, смог идентифицировать IP-адрес жертвы, имя домена, имя пользователя и хеш-пароль Microsoft LAN Manager (NTLMv2). 

Апрельские патчи Microsoft частично решили проблему с уязвимостью: патч CVE-2018-0950 не позволяет Outlook автоматически запускать SMB-соединения при просмотре в письме документа RTF. Однако, исследователи CERT утверждают, что проблема доступа OLE файла к пользовательским данным осталась.

“К примеру, если электронное письмо содержит ссылку UNC, Outlook автоматически сделает эту ссылку доступной. Если пользователь нажимает на такую ссылку, воздействие может оказаться таким же, как и с этой уязвимостью“, - предупреждает CERT.

Купоны на топливо оказались приманкой: мошенники собирают данные водителей

Топливная тема снова стала приманкой для мошенников. Эксперты «Лаборатории Касперского» зафиксировали новую волну почтовых рассылок, в которых пользователям обещают купоны на топливо и участие в программах лояльности АЗС.

Только с 30 июня по 1 июля 2026 года специалисты обнаружили более 3 тыс. таких писем.

Пользователю приходит письмо с предложением зарегистрировать купон на топливо. Для этого нужно перейти на сайт и заполнить анкету. На фейковом ресурсе обещают бесплатное оформление, доступ к топливу на АЗС по всей России и быструю подачу заявки. Конечно, всё срочно, выгодно и только сегодня.

Но вместо купона пользователь отдаёт мошенникам свои данные. Причём теперь злоумышленников интересуют не только имя и номер телефона. В анкетах также просят указать марку и модель автомобиля, госномер, предпочитаемый тип топлива и регион использования машины.

По мнению экспертов, такие данные могут использоваться как заготовка для более убедительной атаки. Например, после заполнения анкеты мошенники могут позвонить жертве уже от имени программы лояльности или представителя АЗС. Дальше сценарий может быть любым: эксклюзивная топливная карта, предоплата за бронирование топлива, заправка вне очереди или другая красивая легенда, которая в итоге ведёт к хищению денег.

Для убедительности фейковые сайты копируют элементы настоящих сервисов: фирменное оформление, карты АЗС, личный кабинет, горячую линию и описание преимуществ программы. Всё это бутафория. Дополнительно давят на срочность: количество купонов якобы ограничено, а топливо нужного класса вот-вот закончится.

В «Лаборатории Касперского» напоминают: если за купон, ваучер или льготу просят ввести личные данные, данные машины или заранее перевести деньги — это красный флаг. Проверять нужно адрес сайта, источник письма и не переходить по сомнительным ссылкам.

Ранее специалисты уже фиксировали похожие топливные схемы: фейковые ваучеры на 100 литров топлива и вредоносные Android-приложения под видом сервисов поиска топлива.

Кроме того, на днях Минэнерго заявило о риске сбора данных на сайтах и в сервисах, которые показывают наличие топлива на заправках.

RSS: Новости на портале Anti-Malware.ru