Ataques de phishing relacionados ao compartilhamento de calendário do Outlook e links maliciosos… Tenha especial cuidado
A empresa de segurança de dados Varonis descobriu recentemente três novas vulnerabilidades e técnicas de ataque sofisticadas, revelando riscos associados ao Microsoft Outlook e alguns softwares Windows. A vulnerabilidade pode colocar os usuários em risco de comprometer hashes NTLM v2, um protocolo importante para autenticar usuários em servidores remotos.
CVE-2023-35636 é uma vulnerabilidade atualmente classificada como “crítica” pela Microsoft.
Este problema foi imediatamente resolvido com uma atualização de patch na terça-feira, dezembro de 2023, sublinhando a gravidade do risco representado por esta vulnerabilidade. No entanto, Baronis relatou que problemas adicionais classificados como “moderados” permanecem sem solução, deixando os usuários vulneráveis a possíveis ataques maliciosos.
Uma forma de explorar esta vulnerabilidade é manipular de forma inteligente a funcionalidade de compartilhamento de calendário do Outlook. O invasor envia um e-mail sofisticado aos usuários do Outlook. O e-mail, que contém dois cabeçalhos específicos, engana o Outlook fazendo-o pensar que a mensagem é um compartilhamento de conteúdo e redireciona a sessão da vítima para um servidor controlado pelo invasor.
Clicar em “Abrir este calendário” no e-mail malicioso enganará a máquina da vítima para que recupere o arquivo de configuração do servidor do invasor, expondo o hash NTLM durante o processo de autenticação.
O segundo método de ataque é explorar o WPA (Windows Performance Analyzer), uma ferramenta comumente usada por desenvolvedores.
Os pesquisadores da Baroness descobriram que o manipulador de URI exclusivo dentro do WPA lida com links que usam NTLM v2 na Internet aberta, expondo potencialmente hashes NTLM. Um invasor pode explorar isso para enviar um e-mail contendo um link projetado para redirecionar a vítima para uma carga WPA maliciosa hospedada em um servidor controlado pelo invasor.
Ao contrário do WPA, que é encontrado principalmente em computadores de desenvolvedores, o terceiro e quarto métodos de ataque usam o popular Windows File Explorer. Como esta ferramenta está presente em todos os computadores Windows, a superfície de ataque pode ser enorme.
Os métodos de ataque são resumidos a seguir.
O invasor envia um link malicioso por e-mail, mídia social ou outros canais. Quando o alvo clica no link, o invasor pode obter o hash e tentar descriptografar a senha do usuário.
Da mesma forma, os invasores podem explorar o File Explorer por meio de links maliciosos. Quando a vítima clica no link, o invasor pode obter o hash e obter acesso não autorizado.
“Uma vez que o hash é comprometido e a senha exposta, o invasor pode usá-lo para fazer login na organização como usuário. Usando essa carga, o Explorer.exe tenta consultar arquivos com a extensão .search-ms”, disse Baronis. .
Devido à gravidade dessas vulnerabilidades e ao potencial de acesso não autorizado a informações confidenciais, os usuários são aconselhados a aplicar imediatamente as atualizações de segurança mais recentes da Microsoft. Ele também enfatizou a importância de aumentar a conscientização sobre os ataques de phishing, especialmente aqueles que envolvem compartilhamento de calendários e links maliciosos.
★Dailysecu, principal mídia de segurança da Coreia!★
Copyright © Daily Psycho, reprodução e redistribuição proibidas.
“Pensador. Aspirante a amante do Twitter. Empreendedor. Fã de comida. Comunicador total. Especialista em café. Evangelista da web. Fanático por viagens. Jogador.”