by al10sk29dj38
Bookmark

Novos ataques de vazamento de hash NTLM têm como alvo programas do Windows

A empresa de segurança de dados Varonis divulgou uma nova vulnerabilidade e três métodos de ataque para obter hashes NTLM v2 visando o Microsoft Outlook e dois programas do Windows.

A nova vulnerabilidade é rastreada como CVE-2023-35636. Ela recebeu uma classificação de gravidade ‘importante’ da Microsoft, que o corrigiu com as atualizações do Patch Tuesday de dezembro de 2023. Os problemas restantes receberam uma classificação de gravidade “moderada” e atualmente permanecem sem correção, afirmou a empresa.

NTLM v2 é um protocolo usado para autenticar usuários em servidores remotos. Um hash NTLM v2 da senha de um usuário pode ser valioso para agentes mal-intencionados, pois eles podem lançar um ataque de força bruta e obter a senha em texto simples ou podem usar o hash diretamente para autenticação.

Varonis mostrou que um invasor poderia explorar o CVE-2023-35636 para obter hashes NTLM enviando um e-mail especialmente criado para o usuário alvo do Outlook.

A vulnerabilidade se aproveita de uma função de compartilhamento de calendário no Outlook. O invasor precisa enviar um e-mail contendo dois cabeçalhos especialmente criados: um informa ao Outlook que a mensagem contém conteúdo compartilhado e o outro aponta a sessão do Outlook da vítima para um servidor controlado pelo invasor.

Se a vítima clicar em ‘Abrir este iCal’ na mensagem maliciosa, o dispositivo tenta obter o arquivo de configuração do servidor do invasor, com o hash NTLM sendo exposto durante o processo de autenticação.

Outra forma de obter o hash NTLM v2 é abusar da ferramenta Windows Performance Analyzer (WPA), frequentemente usada por desenvolvedores. Os pesquisadores da Varonis descobriram que um manipulador de URI especial é usado para processar links relacionados ao WPA, mas tenta autenticar usando NTLM v2 na Internet aberta, o que expõe o hash NTLM.

Este método envolve o envio de um e-mail que contém um link projetado para redirecionar a vítima para uma carga WPA maliciosa em um site controlado pelo invasor.

Os dois métodos de ataque restantes descobertos pela Varonis envolvem abuso do Windows File Explorer. Ao contrário do WPA, encontrado principalmente em máquinas de desenvolvedores de software, o File Explorer está presente em todos os computadores Windows.

Existem duas variações do ataque ao File Explorer, ambas envolvendo o envio de um link malicioso ao usuário alvo por e-mail, mídia social ou outros canais.

“Depois que a vítima clica no link, o invasor pode obter o hash e tentar quebrar a senha do usuário offline”, explicou a Varonis. “Depois que o hash for quebrado e a senha obtida, um invasor poderá usá-lo para fazer login na organização como usuário. Com esta carga útil, o explorer.exe tentará consultar arquivos com a extensão .search-ms.”

Para saber mais, clique aqui.