April 2018 Patchday wurde ausgerollt. Es beinhaltet 66 Sicherheit beseitigt Schwachstellen. Eine der interessanten Patches beinhaltet einen älteren Microsoft Outlook Fehler, die zuerst in berichtet wurde 2016.
Jedoch, nach Will Dormann, die Verwundbarkeit Analyst bei CERT, die offenbart,, die gerade veröffentlichte Patch nicht abgeschlossen ist, und es muss weiter Abhilfen. Der Fehler in Frage ist, CVE-2018-0950.
Was ist CVE-2018-0950?
Microsoft Outlook automatisch Remote OLE Inhalt abrufen, wenn eine RTF-E-Mail angesehen wird. Wenn Remote-OLE Inhalt auf einem SMB / CIFS-Server gehostet, das Windows-Client-System versucht, mit dem Server unter Verwendung von Single zu authentifizieren Sign-On (SSO). Dies kann der Benutzer die IP-Adresse Leck, Domain-Namen, Benutzername, Hostname, und Passwort-Hash. Wenn das Kennwort des Benutzers ist nicht komplex genug, dann kann ein Angreifer das Passwort in kürzester Zeit zu knacken.
Microsoft Outlook automatisch Remote OLE Inhalt abrufen, wenn eine RTF-E-Mail angesehen wird. Wenn Remote-OLE Inhalt auf einem SMB / CIFS-Server gehostet, das Windows-Client-System versucht, mit dem Server unter Verwendung von Single zu authentifizieren Sign-On (SSO). Dies kann der Benutzer die IP-Adresse Leck, Domain-Namen, Benutzername, Hostname, und Passwort-Hash. Wenn das Kennwort des Benutzers ist nicht komplex genug, dann kann ein Angreifer das Passwort in kürzester Zeit zu knacken.
Der Forscher glaubt, dass das größte Problem mit diesem Fehler ist, dass Outlook automatisch den Inhalt von Remote-OLE-Objekten rendert (Object Linking and Embedding) innen reich formatierten E-Mails eingebettet, ohne zuerst die Benutzerführung. Diese Aktivität wird mit anderen Microsoft Office-Produkten wie Word zugeordnet, Powerpoint und Excel, und hat sich zu einem gemeinsamen Angriffsvektor für böswillige Akteure werden.
Die Sicherheitslücke Analyst beurteilt, dass der Fehler ausgenutzt werden könnte Benutzer-Account-Passwörter zu stehlen, oder genauer gesagt NTLM-Hashes. Er führte die erfolgreiche ausnutzen, indem er eine E-Mail zu einem Outlook-Konto senden, die ein OLE-Objekt hatten eingebettet, Anforderungen an einen Remote-SMB-Server von bösartiger Natur machen. Standardmäßig würden die gezielten Windows-Computer versuchen, auf diesem abgelegenen und böswilligen SMB-Server zu authentifizieren, indem die Benutzer-NTLM Hash-Sharing, die Forscher entdeckt.
Es ist ziemlich einfach für einen Angreifer einen Vorteil dieses Angriffsvektor zu nehmen - indem man einfach den Hashes zu sammeln, Knacken sie dann offline, und sie nutzt das Opfer System zu infiltrieren. Andere Komponenten des internen Netzwerks könnten ebenfalls betroffen sein.
Was ist das Problem mit dem Microsoft-Patch?
Offenbar, das Unternehmen adressiert die Verwundbarkeit nur teilweise durch den SMB-Angriffsvektor Patchen. Der Forscher informierte Microsoft über das OLE-assoziiertes Problem stammt von CVE-2018-0950 im November 2016. 18 Monate später, Microsoft hat endlich einen Patch im April ausgestellt 2018 Patchday, aber wie sich herausstellt, der Patch behebt das Problem nur auf halben Weg. Der Kern des Problems bleibt ungelöst.
Dennoch, die Fleck Für diese Sicherheitsanfälligkeit ist nach wie vor von entscheidender Bedeutung und sollte sofort angewendet werden.
Was die Abhilfen:
1. Blockieren Sie eingehende und ausgehende SMB-Verbindungen in Ihrem Netzwerk Grenze;
2. Block NTLM Single Sign-on (SSO) Authentifizierung;
3. Verwenden Sie komplexe Passwörter.
Weitere Details sind im Advisory verfügbar veröffentlicht auf Verwundbarkeit Notizen Datenbank des CERT.