Zero-Click Outlook RCE Exploit-ի վերաբերյալ նոր բացահայտումներ են լուսաբանվում

Zero-Click Outlook RCE Exploit-ի վերաբերյալ նոր բացահայտումներ են լուսաբանվում

Ահազանգվում են Microsoft Windows-ի անվտանգության վերջին երկու now-patched խոցելիությունները, որոնք կարող են Outlook email-ով ակտիվորեն չարաշահվել հաքերների կողմից:

Անվտանգության խոցելիությունները, որոնք լուծվել են Microsoft-ի կողմից հետևյալն են՝

  • CVE-2023-35384 (CVSS կատալոգում միավորը՝ 5.4) – Windows HTML Platforms Security Feature Bypass-ի խոցելիություն
  • CVE-2023-36710 (CVSS կատալոգում միավորը՝ 7.8) – Windows Media Foundation Core Remote Code Execution-ի խոցելիություն

CVE-2023-35384-ը Akamai-ի կողմից նկարագրվել է որպես անվտանգության կարևոր խոցելիության շրջանցում, որը Microsoft-ը շտկել է դեռևս 2023 թվականի մարտին: Որակվելով որպես CVE-2023-23397 (CVSS կատալոգում միավորը՝ 9.8), խոցելիությունը վերաբերում է արտոնությունների ընդլայնմանը, որոնք կարող են և հանգեցնել NTLM հավատարմագրերի հափշտակմանը:

CVE-2023-35384-ը, ինչպես և CVE-2023-29324-ը, արմատավորված է MapUrlToZone function-ի մեջ, որը կարող է շահագործվել՝ malware պարունակող ցանկացած ֆայլ կամ URL ուղարկելով Outlook-ի հաճախորդին:

«Վերջապես մեզ հաջողվեց գործարկել խոցելիությունը՝ օգտագործելով IMA ADP codec-ը», – նշնում է Բարնեան:

«Ֆայլի չափը մոտավորապես 1,8 ԳԲ է: Կատարելով math limit գործողություն՝ մենք կարող ենք եզրակացնել, որ IMA ADP կոդեկով ֆայլի ամենափոքր հնարավոր չափը 1 ԳԲ է»:

Ռիսկերը մեղմելու համար կազմակերպություններին խորհուրդ է տրվում օգտագործել միկրոսեգմենտացիա՝ արգելափակելու remote public IP հասցեներին ուղղված ելքային SMB կապերը: Բացի այդ, խորհուրդ է տրվում կա՛մ անջատել NTLM-ը, կա՛մ օգտվողներին ավելացնել Protected Users security group-ում, ինչը որպես նույնականացման մեխանիզմ թույլ չի տալիս օգտագործել NTLM-ը:

 

Աղբյուրը՝  https://thehackernews.com/