Опубликовано подробное описание уязвимости в Microsoft Outlook

Исследователи опубликовали подробное описание уязвимости в программе Microsoft Outlook, позволяющей получить информацию о реквизитах доступа жертвы. Уязвимость не требует никакого участия со стороны пользователя.

При получении сообщений MS Outlook пытается отобразить для владельца аккаунта его содержимое. Если злоумышленник отправит письмо, содержащее внедрённый объект на подконтрольном ему сервере, то при попытке отобразить письмо Outlook отправит по SMB-протоколу логин пользователя, имя и IP-адрес машины и NTLM-хеш пароля. В случае использования слабого пароля злоумышленник сможет его восстановить.

Вилл Дорманн (Will Dormann) сообщил об уязвимости ещё в ноябре 2016 года. Она была частично исправлена в апреле этого года, после 18 месяцев ожидания. По словам Дорманна, теперь уязвимость по-прежнему можно задействовать, но придётся поменять формат имени введённого файла.

В качестве контрмер системным администраторам предлагается установить исправление, заблокировать ряд портов (445/tcp, 137/tcp, 139/tcp, 137/udp и 139/udp), и отключить NTLM-аутентификацию в режиме Single Sign-on. Пользователям рекомендуют выбирать сложные пароли, которые не поддаются словарной атаке, и не переходить по "подозрительным" ссылкам. Впрочем, эти рекомендации в значительной мере универсальны.

Уязвимости присвоен код CVE-2018-0950.


Возврат к списку