CVE-2018-09504月に完全に修正されたわけではありません 2018 火曜日のパッチ

4月 2018 火曜日のパッチが公開されました. を含む 66 脆弱性のセキュリティ修正. より興味深いパッチの1つには、最初に報告された古いMicrosoftOutlookの欠陥が含まれます。 2016.

でも, ウィル・ドーマンによると, それを開示したCERTの脆弱性アナリスト, リリースされたばかりのパッチは完全ではなく、さらに回避策が必要です. 問題のバグはCVE-2018-0950です.

CVE-2018-0950とは?

RTF電子メールがプレビューされると、MicrosoftOutlookはリモートOLEコンテンツを自動的に取得します. リモートOLEコンテンツがSMB/CIFSサーバーでホストされている場合, Windowsクライアントシステムは、シングルサインオンを使用してサーバーでの認証を試みます (SSO). これにより、ユーザーのIPアドレスが漏洩する可能性があります, ドメイン名, ユーザー名, ホスト名, およびパスワードハッシュ. ユーザーのパスワードが十分に複雑でない場合, そうすれば、攻撃者は短時間でパスワードを解読できる可能性があります.

研究者は、このバグの最大の問題は、OutlookがリモートOLEオブジェクトのコンテンツを自動的にレンダリングすることであると考えています (オブジェクトのリンクと埋め込み) 最初にユーザーにプロンプトを表示せずに、リッチフォーマットの電子メールに埋め込まれます. このアクティビティは、Wordなどの他のMicrosoftOffice製品に関連付けられています, PowerPointとExcel, 悪意のある攻撃者の一般的な攻撃ベクトルになりました.

関連記事: マイクロソフトは時間通りにエッジバグを修正できません–グーグルはそれを公開します

脆弱性アナリストは、バグが悪用されてユーザーアカウントのパスワードを盗む可能性があると評価しました, または、より具体的にはNTLMハッシュ. 彼は、OLEオブジェクトが埋め込まれたOutlookアカウントに電子メールを送信することで、エクスプロイトを成功させました。, 悪意のあるリモートSMBサーバーにリクエストを送信する. デフォルトでは、対象のWindowsコンピューターは、ユーザーのNTLMハッシュを共有することにより、このリモートで悪意のあるSMBサーバーで認証を試みます。, 研究者が発見した.

攻撃者がこの攻撃ベクトルを利用するのは非常に簡単です–ハッシュを収集するだけです, その後、それらをオフラインでクラッキングします, それらを利用して被害者のシステムに侵入します. 内部ネットワークの他のコンポーネントも影響を受ける可能性があります.

Microsoftのパッチの問題は何ですか?

どうやら, 同社は、SMB攻撃ベクトルにパッチを適用することで、この脆弱性に部分的にしか対処していませんでした. 研究者は、11月にCVE-2018-0950に起因するOLE関連の問題についてMicrosoftに通知しました 2016. 18 ヵ月後, マイクロソフトはついに4月にパッチを発行しました 2018 火曜日のパッチ, しかし、結局のところ, パッチは問題を途中で修正するだけです. 問題の核心は未解決のままです.

それにもかかわらず, the パッチ この脆弱性は依然として重要であり、すぐに適用する必要があります.

回避策について:

1. ネットワーク境界でインバウンドおよびアウトバウンドのSMB接続をブロックする;
2. NTLMシングルサインオンをブロックする (SSO) 認証;
3. 複雑なパスワードを使用する.

詳細については、アドバイザリをご覧ください。 公開 CERTの脆弱性ノートデータベース.