Avril 2018 Patch Tuesday a été déployé. Il contient 66 correctifs de sécurité pour les vulnérabilités. L'une des taches les plus intrigants implique une ancienne faille Microsoft Outlook qui a été la première fois en 2016.
Cependant, selon Will Dormann, l'analyste de la vulnérabilité au CERT qui a révélé qu'il, le patch juste sorti n'est pas complète et il a besoin d'autres solutions de contournement. Le bug en question est CVE-2018-0950.
Qu'est-ce que la référence CVE-2018-0950?
Microsoft Outlook récupère automatiquement le contenu OLE à distance lorsqu'un courrier électronique RTF est prévisualisé. Lorsque le contenu OLE distant est hébergé sur un serveur SMB / CIFS, le système client Windows tente d'authentifier avec le serveur en utilisant l'authentification unique (SSO). Cela peut fuir l'adresse IP de l'utilisateur, nom de domaine, Nom d'utilisateur, nom d'hôte, et hachage de mot de passe. Si le mot de passe de l'utilisateur est pas assez complexe, alors un attaquant peut être en mesure de casser le mot de passe dans un court laps de temps.
Microsoft Outlook récupère automatiquement le contenu OLE à distance lorsqu'un courrier électronique RTF est prévisualisé. Lorsque le contenu OLE distant est hébergé sur un serveur SMB / CIFS, le système client Windows tente d'authentifier avec le serveur en utilisant l'authentification unique (SSO). Cela peut fuir l'adresse IP de l'utilisateur, nom de domaine, Nom d'utilisateur, nom d'hôte, et hachage de mot de passe. Si le mot de passe de l'utilisateur est pas assez complexe, alors un attaquant peut être en mesure de casser le mot de passe dans un court laps de temps.
Le chercheur estime que le plus gros problème avec ce bogue est qu'Outlook rend automatiquement le contenu des objets OLE à distance (Object Linking and Embedding) intégré à l'intérieur des e-mails riches formatés sans d'abord demander à l'utilisateur. Cette activité est associée à d'autres produits Microsoft Office comme Word, PowerPoint et Excel, et est devenu un vecteur d'attaque commune pour les acteurs malveillants.
L'analyste de la vulnérabilité a estimé que le virus pourrait être exploitée pour voler les mots de passe de compte utilisateur, ou hachages plus spécifiquement NTLM. Il a réalisé l'exploit en envoyant avec succès un e-mail à un compte Outlook qui avait un objet OLE intégré, faire des requêtes à un serveur SMB distant de la nature malveillante. Par défaut, l'ordinateur Windows ciblé essaierait d'authentifier sur ce serveur SMB distant et malveillant en partageant le hachage NTLM de l'utilisateur, le chercheur a découvert.
Il est assez facile pour un attaquant de prendre un avantage de ce vecteur d'attaque - en recueillant simplement les hash, puis les fissures hors-ligne, et les tirant parti pour infiltrer le système de la victime. D'autres composants du réseau interne pourraient également être affectées.
Quel est le problème avec Patch de Microsoft?
Apparemment, la société a abordé la vulnérabilité que partiellement par patcher le vecteur d'attaque SMB. Le chercheur a informé Microsoft à propos de la question associée OLE provenant de CVE-2018-0950 en Novembre 2016. 18 des mois plus tard, Microsoft a finalement publié un correctif en Avril 2018 Patch Tuesday, mais comme il se trouve, le patch corrige uniquement la question à mi-chemin. Le cœur du problème reste non résolu.
Cependant, la pièce pour cette vulnérabilité est encore cruciale et doit être appliquée immédiatement.
En ce qui concerne les solutions de contournement:
1. Bloquer les connexions entrantes et sortantes SMB à votre frontière réseau;
2. Bloc NTLM Single Sign-on (SSO) authentification;
3. Utilisez des mots de passe complexes.
Plus de détails sont disponibles dans l'avis publié sur la base de notes de vulnérabilité FORCCE.