Összefoglaló
A Microsoft Outlook sérülékenysége vált ismertté, amelyet kihasználva a támadók egy speciálisan formázott levél segítségével tetszőleges kódot futtathatnak az áldozat számítógépén.
Leírás
Az Outlook számos biztonsági funkciót tartalmaz a potenciálisan veszélyes levél csatolmányok kezeléséhez. Az .exe fájlok automatikus futtatása blokkolva van a felhasználó engedélyezéséig. További, potenciálisan veszélyes fájl típusok esetében figyelmeztető üzenet jelenik meg a csatolmány megnyitásakor. Office dokumentumok megnyitása egy “Office sandbox” segítségével történik.
A fent említett biztonsági intézkedések azonban megkerülhetőek néhány módszerrel.
A Transport Neutral Encapsulation Format (TNEF) egy Microsoft e-mail formátum. Egy Flash exploit-ot csomagolva egy OLE engedélyezett TNEF levélbe, a támadó tetszőleges kódot futtathat, amint az áldozat megnyitja, akárcsak előnézetben is a levelet.
Szintén OLE objektumként lehet kártékony kódot beágyazni .msg formátumú levélbe, amit az Outlook biztonságosnak ítél.
Az Outlook-nak nincs sandboxa. Ez azt jelenti, hogy ha a támadó pl. egy Flash exploit-ot beágyaz egy levélbe (a “TNEF” formátumban), a levél megnyitásakor az exploit az outlook.exe folyamaton belül fog lefutni az aktuális felhasználó jogosultságaival. Mivel az Outlook induláskor a legújabb levelet automatikusan megmutatja előnézetben, ha a kártékony levél a legújabb, a felhasználónak meg sem kell nyitnia, akkor is lefut a káros kód.
Megoldás
A Microsoft elkészítette a javítást, amelyről a Microsoft Security Bulletin MS15-131-ben található leírás. Ajánlott az azonnali telepítése.
Akik nem tudják telepíteni valamely oknál fogva, a tájékoztató megkerülési javaslata szerint javasolt a plain text üzenetek olvasására korlátozni a klienst.
Tobábbá javasolt az “Office Kill-bit” registry kulcs beállítása a kritikus Flash tartalmak blokkolása érdekében, a blokkolt CLSID D27CDB6E-AE6D-11cf-96B8-444553540000.
A következő registry állítással az Outlook nem fog többé Flash tartalmat betölteni:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftOfficeCommonCOM Compatibility{D27CDB6E-AE6D-11cf-96B8-444553540000}]
“Compatibility Flags”=dword:00000400
Támadás típusa
System access (Rendszer hozzáférés)execute arbitrary code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: sites.google.com
Gyártói referencia: technet.microsoft.com
Egyéb referencia: youtu.be
CVE-2015-6172 - NVD CVE-2015-6172