Falha de segurança no Microsoft Outlook permite aos hackers roubarem a palavra-passe do sistema operativo Windows.

Um investigador de segurança divulgou detalhes de uma vulnerabilidade importante do Microsoft Outlook para o qual a empresa lançou um patch incompleto este mês – quase 18 meses depois de receber o relatório de falha.

A vulnerabilidade do Microsoft Outlook (CVE-2018-0950) permite que os hackers roubem informações confidenciais, incluindo as credenciais de login do Windows, apenas ‘convencendo’ as vítimas a visualizar um email com o Microsoft Outlook, sem exigir interação adicional do próprio utilizador.

A vulnerabilidade, descoberta por Will Dormann do Centro de Coordenação CERT (CERT / CC), reside na maneira como o Microsoft Outlook processa conteúdo OLE hospedado remotamente quando uma mensagem de email RTF (Rich Text Format) é visualizada e inicia automaticamente conexões SMB.

Um hacker remoto pode explorar esta vulnerabilidade apenas enviando um email RTF para uma vítima, anexando um arquivo de imagem alojado remotamente no servidor SMB controlado pelo hacker (objeto OLE).

Como o Microsoft Outlook renderiza automaticamente o conteúdo OLE, ele inicia uma autenticação automática com o servidor remoto controlado pelo hacker através do protocolo SMB usando conexão única (SSO), enviando também o nome de utilizador e a representação da password com hash NTLMv2, permitindo o potencial acesso do hacker ao sistema.

hack-smb-ntml-hash

 

“This may leak the user’s IP address, domain name, username, hostname, and password hash. If the user’s password is not complex enough, then an attacker may be able to crack the password in a short amount of time,” the US-CERT explains.

 

Segundo o investigador, o patch de segurança apenas impede que o Outlook inicie automaticamente as conexões SMB ao visualizar emails RTF, mas o ele disse ainda que a correção não impede todos os ataques SMB.

“It is important to realize that even with this patch, a user is still a single click away from falling victim to the types of attacks described above,” Dormann said. “For example, if an email message has a UNC-style link that begins with “\\”, clicking the link initiates an SMB connection to the specified server.”

SMB-hack-outlook

 

O investigador disse ainda que, quem instalou o patch continua vulnerável. Ele deixou algumas recomendações, especialmente para administradores de sistemas:

  • Apply the Microsoft update for CVE-2018-0950, if you have not yet.
  • Block specific ports (445/tcp, 137/tcp, 139/tcp, along with 137/udp and 139/udp) used for incoming and outgoing SMB sessions.
  • Block NT LAN Manager (NTLM) Single Sign-on (SSO) authentication.
  • Always use complex passwords, that cannot be cracked easily even if their hashes are stolen (you can use password managers to handle this task).
  • Most important, don’t click on suspicious links provided in emails.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *