Hacker dễ dàng đánh cắp mật khẩu Windows nhờ lỗ hổng trong Outlook

0

Theo thông tin của một nhà nghiên cứu bảo mật, lỗ hổng của Microsoft Outlook (CVE-2018-0950) có thể cho phép kẻ tấn công ăn cắp thông tin nhạy cảm, bao gồm thông tin đăng nhập Windows của người dùng, chỉ với việc nạn nhân chỉ cần mở email Microsoft Outlook mà không cần bất kỳ một thao tác tương tác nào khác.

Khả năng email dễ bị tấn công được phát hiện bởi Will Dormann thuộc Trung tâm Điều phối CERT (CERT / CC), Microsoft Outlook sẽ cho phép lưu trữ nội dung OLE từ xa khi email RTF (Rich Text Format) được mở và tự động khởi tạo các kết nối SMB.

Hacker có thể khai thác lỗ hổng này bằng cách gửi một email RTF tới một nạn nhân mục tiêu, chứa tệp tin lưu trữ từ xa (đối tượng OLE), tải từ máy chủ SMB bị tấn công.

Vì Microsoft Outlook tự động hiển thị nội dung OLE nên nó sẽ bắt đầu tự động xác thực với máy chủ từ xa được kiểm soát của hacker qua giao thức SMB, phân tán tên người dùng của nạn nhân và NTLMv2 đã lấy được mật khẩu, có khả năng cho phép hacker được quyền truy cập vào hệ thống của nạn nhân.

hack-smb

“Điều này có thể làm rò rỉ địa chỉ IP, tên người dùng, tên máy chủ và mật khẩu của người dùng.” Nếu mật khẩu của người dùng không đủ phức tạp thì kẻ tấn công có thể crack mật khẩu trong một khoảng thời gian ngắn “, CERT giải thích.
Vậy tại sao máy tính Windows của bạn lại bị điều khiển bởi máy chủ SMB của hacker? Cách xác thực của nó thông qua SMB (Server Message Block) kết hợp với cơ chế xác thực NTLM như hình dưới đây:

smb-authentication-mechanism

Dormann báo cáo lỗ hổng của Microsoft vào tháng 11 năm 2016, và trong nỗ lực vá lỗi, công ty đã đưa ra bản sửa lỗi không đầy đủ trong bản cập nhật thứ ba vào tháng 4 năm 2018 – tức là gần 18 tháng kể từ ngày báo cáo.

Miếng vá bảo mật chỉ ngăn Outlook tự động kết nối SMB khi nó xem trước các email RTF nhưng nhà nghiên cứu lưu ý rằng bản sửa lỗi không ngăn được tất cả các cuộc tấn công SMB.

“Điều quan trọng là phải nhận ra rằng ngay cả với miếng vá này, người sử dụng vẫn có thể nhấp vàp email này” Dormann nói. “Ví dụ, nếu một email có liên kết UNC bắt đầu bằng” \\ “, khi người dùng click vào thì vẫn sẽ kết nối đến SMB.”

hack-outlook

 

Nếu bạn đã cài đặt bản vá cập nhật mới nhất của Microsoft, thật tuyệt vời, nhưng kẻ tấn công vẫn có thể khai thác lỗ hổng này. Vì vậy, người dùng Windows, đặc biệt là quản trị viên mạng tại các doanh nghiệp, nên làm theo các bước dưới đây để giảm nhẹ lỗ hổng này.

  • Cập nhật bản vá CVE-2018-0950 nếu bạn vẫn còn đang sử dụng bản cũ.
  • Chặn các cổng cụ thể (445 / tcp, 137 / tcp, 139 / tcp, cùng với 137 / udp và 139 / udp) được sử dụng cho các phiên SMB đến và đi.
  • Chặn xác thực NT LAN Manager (NTLM) đăng nhập một lần (SSO).
  • Luôn luôn sử dụng các mật khẩu phức tạp.
  • Quan trọng nhất, không nhấp vào liên kết đáng ngờ được cung cấp trong email.
  • Lựa chọn sử dụng một hệ thống email an toàn, bảo mật.

Bài viết liên quan Bài viết cùng tác giả