April 2018 Patch tirsdag er blevet rullet ud. Det indeholder 66 sikkerhedsrettelser for sårbarheder. En af de mere spændende patches indebærer en ældre Microsoft Outlook fejl, der først blev rapporteret i 2016.
Men, i henhold til Will Dormann, sårbarhed analytiker hos CERT, der oplyses det, den netop udgivne plaster er ikke komplet, og den har brug for yderligere løsninger. Fejlen er tale CVE-2018-0950.
Hvad er CVE-2018-0950?
Microsoft Outlook vil automatisk hente ekstern OLE indhold, når en RTF email er fremvist. Når fjernbetjening OLE indhold er hostet på en SMB / CIFS-server, Windows-klient systemet vil forsøge at få godkendelse hos serveren ved hjælp single sign-on (SSO). Dette kan lække brugerens IP-adresse, domænenavn, brugernavn, værtsnavn, og adgangskode hash. Hvis brugerens password er ikke kompliceret nok, så en hacker kan være i stand til at knække kodeordet i et kort stykke tid.
Microsoft Outlook vil automatisk hente ekstern OLE indhold, når en RTF email er fremvist. Når fjernbetjening OLE indhold er hostet på en SMB / CIFS-server, Windows-klient systemet vil forsøge at få godkendelse hos serveren ved hjælp single sign-on (SSO). Dette kan lække brugerens IP-adresse, domænenavn, brugernavn, værtsnavn, og adgangskode hash. Hvis brugerens password er ikke kompliceret nok, så en hacker kan være i stand til at knække kodeordet i et kort stykke tid.
Forskeren mener, at det største problem med denne fejl er, at Outlook gør automatisk indholdet af fjerntliggende OLE-objekter (Object Linking and Embedding) indlejret i rige formaterede e-mails uden først at spørge brugeren. Denne aktivitet er forbundet med andre Microsoft Office-produkter som Word, PowerPoint og Excel, og er blevet et fælles angreb vektor for ondsindede aktører.
Sårbarheden analytiker vurderede, at fejlen kunne udnyttes til at stjæle brugerens konto passwords, eller mere specifikt NTLM hashes. Han udførte en vellykket udnytte ved at sende en e-mail til en Outlook-konto, der havde et OLE-objekt indlejret, gør anmodninger til en ekstern SMB-server for ondsindede natur. Som standard målrettet Windows-computer ville forsøge at godkende på denne fjerntliggende og ondsindet SMB-server ved at dele brugerens NTLM hash, forskeren opdaget.
Det er ganske let for en hacker at tage en fordel af dette angreb vektor - ved blot at indsamle hashes, derefter revner dem offline, og udnytte dem til at infiltrere ofrets systemet. Andre komponenter i det interne netværk kunne også blive påvirket.
Hvad er spørgsmålet med Microsofts Patch?
Tilsyneladende, selskabet rettet sårbarheden kun delvist ved lappe SMB angrebsvektoren. Forskeren informerede Microsoft om OLE-associerede problem stammer fra CVE-2018-0950 i november 2016. 18 måneder senere, Microsoft har endelig udsendt en patch i april 2018 Patch tirsdag, men da det viser sig, plasteret kun løser problemet halvvejs. Kernen i problemet varer.
Ikke desto mindre, den patch for denne sårbarhed er stadig afgørende, og bør anvendes straks.
Med hensyn til de løsninger:
1. Bloker indgående og udgående SMB-forbindelser på dit netværk grænse;
2. Blok NTLM Single Sign-on (SSO) Godkendelse;
3. Brug komplekse adgangskoder.
Flere detaljer findes i det rådgivende offentliggjort på CERT sårbarhed noter database.