A Varonis adatbiztonsági cég egy új sebezhetőséget és három támadási módszert hozott nyilvánosságra, amelyekkel a Microsoft Outlook és két Windows program segítségével NTLM v2 hash-eket lehet megszerezni.
A sebezhetőség CVE-2023-35636 néven követhető nyomon. A Microsoft-nál “important” (fontos) súlyossági besorolást kapott, és a 2023. decemberi Patch Tuesday frissítésekkel javította. A Varonis-nál a többi probléma “közepes” súlyossági besorolást kapott, és jelenleg javítatlanok.
Az NTLM v2 protokollt a felhasználók távoli kiszolgálókon történő hitelesítésére használják. A felhasználó jelszavának NTLM v2 hash-e értékes lehet a kártékony aktor számára, mivel egy bruteforce támadással megszerezhetik a jelszó plaintext szövegét vagy közvetlenül a hash-t használhatják hitelesítésre.
A támadó NTLM hash-eket szerezhet, ha egy speciálisan kialakított e-mailt küld a célzott Outlook felhasználónak. A sebezhetőség az Outlook egyik naptármegosztó funkcióját használja ki. A támadónak olyan e-mailt kell küldenie, amely két speciálisan szerkesztett fejlécet tartalmaz: az egyik arról tájékoztatja az Outlook-ot, hogy az üzenetnek van megosztott tartalma, a másik pedig az áldozat Outlook munkamenetét a támadó által ellenőrzött szerverre irányítja. Ha az áldozat az üzenetben a “Nyisd meg ezt az iCal-t” gombra kattint, a készülék megpróbálja megszerezni a konfigurációs fájlt a támadó szerveréről, és a hitelesítési folyamat során az NTLM hash adatai feltárulnak.
Az NTLM v2 hash megszerzésének másik módja a Windows Performance Analyzer (WPA) eszközzel való visszaélés, amelyet gyakran használnak a fejlesztők. A Varonis kutatói felfedezték, hogy egy speciális URI kezelőt használnak a WPA-val kapcsolatos linkek feldolgozására, de az NTLM v2 használatával próbál hitelesíteni a nyílt interneten keresztül, ami elérhetővé teszi az NTLM hash-t. E módszer során egy linket tartalmazó e-mail-t küldenek ki, amelynek célja, hogy az áldozatot egy rosszindulatú WPA payload-ra irányítsa át egy támadó által ellenőrzött webhelyen.
A Varonis által feltárt további két támadási módszer a Windows File Explorerrel való visszaélést foglalja magában. A WPA-val ellentétben, amely főként a szoftverfejlesztők gépein található, a File Explorer minden Windows számítógépen jelen van. A File Explorer támadásnak két változata létezik, mindkettőben a támadó rosszindulatú linket küld a célzott felhasználónak e-mailben, a közösségi médiában vagy más csatornákon keresztül. Amint az áldozat rákattint a linkre, a támadó megszerezheti a hash-t, majd megpróbálhatja feltörni a felhasználó jelszavát offline módban. Miután megszerezték a jelszót, a támadó felhasználhatja azt, hogy a felhasználóként be tudjon jelentkezni. Ezzel a payload-dal az explorer.exe megpróbálja lekérdezni .search-ms kiterjesztésű fájlokat.