Microsoft Outlook’ta artık yama uygulanan bir güvenlik açığı, tehdit aktörleri tarafından, özel hazırlanmış bir dosyayı açarken NT LAN Manager (NTLM) v2 karma parolalarına erişmek için kullanılabilir.
CVE-2023-35636 (CVSS puanı: 6,5) olarak takip edilen sorun, teknoloji devi tarafından Aralık 2023 Salı Yaması güncellemelerinin bir parçası olarak giderildi.
Microsoft, geçen ay yayınlanan bir danışma belgesinde “Bir e-posta saldırısı senaryosunda, bir saldırgan özel hazırlanmış dosyayı kullanıcıya göndererek ve kullanıcıyı dosyayı açmaya ikna ederek bu güvenlik açığından yararlanabilir.” dedi.
Web tabanlı bir saldırı senaryosunda, bir saldırgan, güvenlik açığından yararlanmak üzere tasarlanmış özel hazırlanmış bir dosya içeren bir web sitesini barındırabilir (veya kullanıcı tarafından sağlanan içeriği kabul eden veya barındıran, güvenliği ihlal edilmiş bir web sitesinden yararlanabilir).
Başka bir deyişle, saldırganın, kullanıcıları kimlik avı e-postasına yerleştirilmiş veya anlık mesaj yoluyla gönderilen bir bağlantıya tıklamaya ikna etmesi ve ardından söz konusu dosyayı açmaları için onları kandırması gerekir.
CVE-2023-35636, Outlook e-posta uygulamasındaki takvim paylaşım işlevine dayanmaktadır; burada kötü amaçlı bir e-posta mesajı, hazırlanmış değerlerle birlikte “Content-Class” ve “x-sharing-config-url” olmak üzere iki başlığın sırayla eklenmesiyle oluşturulur. Kimlik doğrulama sırasında kurbanın NTLM karmasını açığa çıkarmak için.
Hatayı keşfedip bildiren Varonis güvenlik araştırmacısı Dolev Taler, NTLM karmalarının Windows Performans Analizörü (WPA) ve Windows Dosya Gezgini kullanılarak sızdırılabileceğini söyledi. Ancak bu iki saldırı yöntemi yamasız kalıyor.
Taler, “Bunu ilginç kılan şey, WPA’nın açık web üzerinden NTLM v2 kullanarak kimlik doğrulaması yapmaya çalışmasıdır” dedi.
“Genellikle dahili IP adresi tabanlı hizmetlere karşı kimlik doğrulaması yapılırken NTLM v2 kullanılmalıdır. Ancak NTLM v2 karması açık internet üzerinden geçtiğinde aktarma ve çevrimdışı kaba kuvvet saldırılarına karşı savunmasızdır.”
Açıklama, Check Point’in, bir kurbanı hileli bir Microsoft Access dosyasını açması için kandırarak bir Windows kullanıcısının NTLM belirteçlerini sızdırmak için silah olarak kullanılabilecek bir “zorla kimlik doğrulama” vakasını ortaya çıkarmasıyla geldi.
Microsoft, Ekim 2023’te, şifreleme yöntemlerini desteklememesi ve geçiş saldırılarına açık olması nedeniyle gelişmiş güvenlik için Windows 11’de NTLM’yi Kerberos lehine sonlandırmayı planladığını duyurdu.