Aprile 2018 Patch Martedì è stato implementato. Contiene 66 fix di sicurezza per le vulnerabilità. Una delle patch più intriganti comporta un vecchio difetto di Microsoft Outlook che è stata la prima volta nel 2016.
Tuttavia, secondo le Will Dormann, l'analista vulnerabilità a CERT che divulgato, la patch appena pubblicato non è completa e ha bisogno di ulteriori soluzioni alternative. Il bug in questione è CVE-2018-0950.
Che cosa è CVE-2.018-0.950?
Microsoft Outlook recupererà automaticamente il contenuto OLE remoto quando una e-mail RTF viene visualizzato in anteprima. Quando il contenuto OLE remoto è ospitato su un server SMB / CIFS, il sistema client Windows tenterà di autenticarsi con il server utilizzando il single sign-on (SSO). Questo può perdere l'indirizzo IP dell'utente, nome del dominio, Nome utente, nome host, e password hash. Se la password dell'utente non è abbastanza complessa, quindi un utente malintenzionato potrebbe essere in grado di rompere la password in un breve lasso di tempo.
Microsoft Outlook recupererà automaticamente il contenuto OLE remoto quando una e-mail RTF viene visualizzato in anteprima. Quando il contenuto OLE remoto è ospitato su un server SMB / CIFS, il sistema client Windows tenterà di autenticarsi con il server utilizzando il single sign-on (SSO). Questo può perdere l'indirizzo IP dell'utente, nome del dominio, Nome utente, nome host, e password hash. Se la password dell'utente non è abbastanza complessa, quindi un utente malintenzionato potrebbe essere in grado di rompere la password in un breve lasso di tempo.
Il ricercatore ritiene che il più grande problema con questo bug è che Outlook rende automaticamente il contenuto degli oggetti OLE remoti (Object Linking and Embedding) incorporato all'interno ricche messaggi di posta elettronica formattati senza prima chiedere conferma all'utente. Questa attività è associata con altri prodotti di Microsoft Office come Word, PowerPoint ed Excel, ed è diventato un vettore di attacco comune per attori maligni.
L'analista ha valutato la vulnerabilità che il bug potrebbe essere sfruttato per rubare le password degli account utente, o hash più specificamente NTLM. Ha svolto il successo exploit inviando una e-mail a un account di Outlook che ha avuto un oggetto OLE incorporato, fare richieste a un server SMB remota della natura dannoso. Per impostazione predefinita, il computer Windows mirato avrebbe cercato di autenticarsi su questo server SMB remoto e malevolo condividendo NTLM hash dell'utente, il ricercatore ha scoperto.
E 'abbastanza facile per un utente malintenzionato di prendere un vantaggio di questo vettore di attacco - semplicemente raccogliendo gli hash, poi li fessurazione offline, e sfruttando di infiltrarsi sistema della vittima. Altri componenti della rete interna potrebbero anche essere influenzati.
Qual è il problema con la patch di Microsoft?
Apparentemente, l'azienda ha affrontato la vulnerabilità solo in parte dalla patch il vettore di attacco SMB. Il ricercatore ha informato Microsoft sulla questione OLE-associata derivanti da CVE-2018-0950 nel mese di novembre 2016. 18 mesi dopo, Microsoft ha finalmente rilasciato una patch di aprile 2018 Patch Martedì, ma come risulta, la patch risolve solo il problema a metà strada. Il nucleo del problema rimane irrisolto.
Ciò nonostante, il toppa per questa vulnerabilità è ancora cruciale e deve essere applicato immediatamente.
Per quanto riguarda le soluzioni alternative:
1. Bloccare le connessioni in entrata e in uscita SMB al vostro confine della rete;
2. Blocco NTLM Single Sign-on (SSO) autenticazione;
3. Utilizzare password complesse.
Maggiori dettagli sono disponibili nella consulenza pubblicato sulla base di dati di vulnerabilità note del CERT.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: