Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Microsoft sửa hai lỗi 0 ngày vào Bản vá Thứ Ba – cập nhật ngay bây giờ!

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 175
by Paul Ducklin

Nhờ độ dài chính xác của tháng Hai năm nay là bốn tuần, sự trùng hợp ngẫu nhiên của các bản cập nhật Firefox và Microsoft vào tháng trước lại một lần nữa xảy ra.

Tháng trước, Microsoft đã xử lý ba ngày không, theo đó chúng tôi muốn nói đến các lỗ hổng bảo mật mà tội phạm mạng tìm thấy đầu tiên và tìm ra cách lạm dụng trong các cuộc tấn công ngoài đời thực trước khi có bất kỳ bản vá lỗi nào.

(Tên không ngàyhoặc chỉ 0 ngày, là một lời nhắc nhở về thực tế là ngay cả những người vá lỗi tiến bộ và chủ động nhất trong số chúng tôi cũng không có ngày nào mà chúng tôi có thể đi trước kẻ gian.)

Vào tháng 2023 năm XNUMX, có hai bản sửa lỗi zero-day, một trong Outlook, và cái khác trong màn hình thông minh windows.

Điều thú vị là một lỗi đã được phát hiện trong tự nhiên, mặc dù một lỗi đã được Microsoft báo cáo khá nhạt nhẽo là Khai thác được phát hiện, lỗ hổng Outlook được ghi có chung cho CERT-UA (Nhóm Ứng phó Khẩn cấp Máy tính Ukraina), Ứng phó Sự cố của Microsoft và Thông tin về Mối đe dọa của Microsoft.

Bạn có thể làm cho những gì bạn muốn.

Triển vọng EoP

Lỗi này, được đặt tên là CVE-2023-23397: Mức độ lỗ hổng đặc quyền của Microsoft Outlook (EOP), là mô tả như sau:

Kẻ tấn công đã khai thác thành công lỗ hổng này có thể truy cập hàm băm Net-NTLMv2 của người dùng. Hàm băm này có thể được sử dụng làm cơ sở cho một cuộc tấn công Chuyển tiếp NTLM đối với một dịch vụ khác để xác thực là người dùng. […]

Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một email được chế tạo đặc biệt, email này sẽ tự động kích hoạt khi nó được máy khách Outlook truy xuất và xử lý. Điều này có thể dẫn đến việc khai thác TRƯỚC KHI email được xem trong Ngăn Xem trước. […]

Những kẻ tấn công bên ngoài có thể gửi các email được chế tạo đặc biệt sẽ gây ra kết nối từ nạn nhân đến một vị trí UNC bên ngoài thuộc quyền kiểm soát của những kẻ tấn công. Điều này sẽ làm rò rỉ hàm băm Net-NTLMv2 của nạn nhân cho kẻ tấn công, kẻ sau đó có thể chuyển tiếp hàm băm này đến một dịch vụ khác và xác thực là nạn nhân.

Để giải thích (theo như chúng tôi có thể đoán, vì chúng tôi không có bất kỳ chi tiết cụ thể nào về cuộc tấn công sẽ tiếp tục).

Xác thực Net-NTLMv2, mà chúng ta sẽ gọi tắt là NTLM2, hoạt động gần giống như sau:

  • Vị trí bạn đang kết nối với gửi hơn 8 byte ngẫu nhiên được biết đến như một thách thức.
  • Máy tính của bạn tạo 8 byte ngẫu nhiên của riêng nó.
  • Bạn tính toán hàm băm có khóa HMAC-MD5 của hai chuỗi thử thách bằng cách sử dụng mã băm được lưu trữ an toàn hiện có của mật khẩu của bạn làm khóa.
  • Bạn gửi hàm băm có khóa và thử thách 8 byte của bạn.
  • Đầu kia hiện có cả thách thức 8 byte và trả lời một lần của bạn, vì vậy nó có thể tính toán lại hàm băm có khóa và xác minh phản hồi của bạn.

Trên thực tế, có một chút công bằng hơn thế, bởi vì thực sự có hai hàm băm có khóa, một hàm trộn trong hai số thử thách ngẫu nhiên 8 byte và hàm còn lại trộn dữ liệu bổ sung bao gồm tên người dùng, tên miền và thời gian hiện tại của bạn.

Nhưng nguyên tắc cơ bản là như nhau.

Cả mật khẩu thực tế hoặc hàm băm được lưu trữ của mật khẩu của bạn (ví dụ: từ Active Directory) đều không bao giờ được truyền đi, do đó mật khẩu không thể bị rò rỉ trong quá trình truyền tải.

Ngoài ra, cả hai bên đều có thể tiêm 8 byte ngẫu nhiên của riêng họ mỗi lần, điều này ngăn không cho một trong hai bên lén lút sử dụng lại chuỗi thử thách cũ với hy vọng kết thúc bằng hàm băm có khóa giống như trong phiên trước.

(Gói thời gian và dữ liệu đăng nhập cụ thể khác bổ sung thêm khả năng bảo vệ chống lại cái gọi là phát lại các cuộc tấn công, nhưng chúng tôi sẽ bỏ qua những chi tiết đó ở đây.)

Ngồi ở giữa

Như bạn có thể tưởng tượng, với điều kiện là kẻ tấn công có thể lừa bạn cố gắng “đăng nhập” vào máy chủ giả mạo của họ (khi bạn đọc email bị bẫy hoặc tệ hơn là khi Outlook bắt đầu xử lý email thay cho bạn, thậm chí trước khi bạn nhận được nhìn thoáng qua xem nó có thể trông như thế nào), cuối cùng bạn sẽ rò rỉ một phản hồi NTLM2 hợp lệ duy nhất.

Câu trả lời đó nhằm mục đích chứng minh với đầu bên kia không chỉ rằng bạn thực sự biết mật khẩu của tài khoản mà bạn xác nhận là của mình, mà còn (vì dữ liệu thách thức được trộn lẫn) rằng bạn không chỉ sử dụng lại câu trả lời trước đó .

Vì vậy, như Microsoft đã cảnh báo, kẻ tấn công có thể canh thời gian phù hợp có thể bắt đầu xác thực với một máy chủ chính hãng với tư cách là bạn mà không cần biết mật khẩu của bạn hoặc hàm băm của nó, chỉ để nhận thử thách bắt đầu 8 byte từ máy chủ thực…

…và sau đó chuyển lại thử thách đó cho bạn vào thời điểm bạn bị lừa đăng nhập vào máy chủ giả mạo của họ.

Sau đó, nếu bạn tính toán hàm băm có khóa và gửi lại dưới dạng “bằng chứng là tôi biết mật khẩu của chính mình ngay bây giờ”, thì kẻ gian có thể chuyển tiếp câu trả lời được tính toán chính xác đó trở lại máy chủ chính hãng mà chúng đang cố xâm nhập, và do đó để lừa máy chủ đó chấp nhận chúng như thể chúng là bạn.

Nói tóm lại, bạn chắc chắn muốn vá lỗi này, bởi vì ngay cả khi cuộc tấn công đòi hỏi nhiều nỗ lực, thời gian và may mắn, và không có khả năng thành công khủng khiếp, chúng tôi đã biết rằng đó là trường hợp “Phát hiện khai thác”.

Nói cách khác, cuộc tấn công có thể thực hiện được và đã thành công ít nhất một lần đối với một nạn nhân nhẹ dạ, người mà bản thân họ không làm gì sai trái hoặc rủi ro.

Bỏ qua bảo mật SmartScreen

Zero-day thứ hai là CVE-2023-24880, và cái này khá nhiều mô tả chinh no: Tính năng bảo mật Windows SmartScreen Bỏ qua lỗ hổng.

Nói một cách đơn giản, Windows thường gắn thẻ các tệp đến qua internet bằng cờ có nội dung: “Tệp này đến từ bên ngoài; đối xử với nó bằng găng tay trẻ em và đừng tin tưởng nó quá nhiều.

Cờ này xuất xứ từ đâu từng được gọi là cờ của tệp Khu Internet định danh và nó nhắc Windows nên đặt niềm tin bao nhiêu (hoặc ít) vào nội dung của tệp đó khi nó được sử dụng sau đó.

Những ngày này, ID vùng (đối với giá trị của nó, ID là 3 biểu thị “từ internet”) thường được gọi bằng cái tên ấn tượng và dễ nhớ hơn Dấu Hiệu Của Web, hoặc là MotW cho ngắn gọn

Về mặt kỹ thuật, ID vùng này được lưu trữ cùng với tệp trong cái được gọi là Luồng dữ liệu thay thế, hoặc là ADS, nhưng các tệp chỉ có thể có dữ liệu ADS nếu chúng được lưu trữ trên đĩa Wiindows có định dạng NTFS. Ví dụ: nếu bạn lưu tệp vào ổ đĩa FAT hoặc sao chép nó vào ổ đĩa không phải NTFS, ID vùng sẽ bị mất, do đó nhãn bảo vệ này bị hạn chế phần nào.

Lỗi này có nghĩa là một số tệp đến từ bên ngoài - ví dụ: tệp tải xuống hoặc tệp đính kèm email - không được gắn thẻ với số nhận dạng MotW phù hợp, vì vậy chúng lén lút vượt qua kiểm tra bảo mật chính thức của Microsoft.

Của Microsoft bản tin công khai không nói chính xác loại tệp nào (hình ảnh? Tài liệu văn phòng? PDF? Tất cả chúng?) có thể xâm nhập vào mạng của bạn theo cách này, nhưng có cảnh báo rất rộng rằng “các tính năng bảo mật như Chế độ xem được bảo vệ trong Microsoft Office” có thể được bỏ qua với thủ thuật này.

Chúng tôi đoán điều này có nghĩa là các tệp độc hại thường được hiển thị là vô hại, chẳng hạn như bằng cách chặn mã macro tích hợp, có thể bất ngờ xuất hiện khi được xem hoặc mở.

Một lần nữa, bản cập nhật sẽ đưa bạn trở lại ngang hàng với những kẻ tấn công, vì vậy Đừng trì hoãn/Vá nó ngay hôm nay.

Phải làm gì?

  • Vá ngay khi bạn có thể, như chúng tôi vừa nói ở trên.
  • Đọc đầy đủ Phân tích SophosLabs trong số những lỗi này và hơn 70 bản vá lỗi khác, trong trường hợp bạn vẫn chưa bị thuyết phục.
tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.