قامت Microsoft في شهر مارس بإصلاح ثغرة أمنية مثيرة للاهتمام في Outlook تم استغلالها من قبل الأشخاص المضللين لتسريب بيانات اعتماد Windows الخاصة بالضحايا. قام عملاق تكنولوجيا المعلومات هذا الأسبوع بإجراء هذا التصحيح كجزء من التحديث الشهري يوم الثلاثاء.
لتذكيرك بالخطأ الأصلي ، تم تعقبه كـ CVE-2023-23397: يمكنك إرسال بريد إلكتروني إلى شخص ما يتضمن تذكيرًا بصوت تنبيه مخصص. يمكن تحديد هذا الصوت المخصص كمسار عنوان URL للبريد الإلكتروني.
إذا كان البريد الإلكتروني المصمم بعناية مع تعيين مسار الصوت هذا لخادم SMB بعيد مخطئًا ، فعندما يقوم Outlook باسترداد الرسالة ومعالجتها ، ويتبع المسار إلى خادم الملفات تلقائيًا ، فسوف يتخلى عن تجزئة Net-NTLMv2 للمستخدم في محاولة تسريب التجزئة بشكل فعال إلى طرف خارجي ، والذي قد يستخدم بيانات الاعتماد للوصول إلى موارد أخرى مثل المستخدم نفسه ، مما يسمح للمتسلل بفحص أنظمة الشبكة الداخلية ، وسرقة المستندات ، وانتحال شخصية ضحيته ، وما إلى ذلك.
التصحيح من بضعة أشهر جعل Outlook يستخدم وظيفة Windows MapUrlToZone للتحقق من المكان الذي يشير إليه مسار صوت التنبيه بالفعل ، وإذا كان قد تم الاتصال بالإنترنت ، فتجاهله وسيتم تشغيل الصوت الافتراضي. كان من المفترض أن يؤدي هذا إلى منع العميل من الاتصال بخادم بعيد وتسريب التجزئة.
اتضح أن هذه الحماية المستندة إلى MapUrlToZone يمكن تجاوزها ، مما دفع Microsoft إلى تصحيحها في مايو. تم استغلال الخطأ الأصلي في البرية ، لذلك عندما هبطت البقعة الخاصة به ، لفت انتباه الجميع. وقد ساعد هذا الاهتمام في الكشف عن أن الإصلاح لم يكن كاملاً.
وإذا تُركت غير مكتملة ، يمكن لمستغل الخطأ الأصلي استخدام الثغرة الأمنية الأخرى لتجاوز التصحيح الأصلي. لكي نكون واضحين ، ليس الأمر أن إصلاح CVE-2023-23397 لم ينجح – لقد نجح – لم يكن كافيًا لإغلاق ثقب ملف الصوت المخصص تمامًا.
“هذه الثغرة الأمنية هي مثال آخر على اختبار التصحيح الذي يؤدي إلى ثغرات أمنية وحلول جديدة ،” قال بن بارنيا من أكاماي ، الذي حدد وأبلغ عن تجاوز MapUrlToZone.
“على وجه التحديد بالنسبة لهذه الثغرة الأمنية ، تسمح إضافة حرف واحد بتجاوز تصحيح حرج.”
بشكل حاسم ، بينما كان الخطأ الأول في Outlook ، تكمن هذه المشكلة الثانية مع MapUrlToZone في تنفيذ Microsoft لهذه الوظيفة في Windows API. كتب بارنا أن هذا يعني أن التصحيح الثاني ليس لبرنامج Outlook ولكن لمنصة MSHTML الأساسية على Windows ، وأن جميع إصدارات نظام التشغيل تتأثر بهذا الخطأ. تكمن المشكلة في أن المسار الذي تم إنشاؤه بشكل ضار يمكن تمريره إلى MapUrlToZone بحيث تحدد الوظيفة أن المسار ليس إلى الإنترنت الخارجي عندما يكون الأمر كذلك بالفعل عندما يأتي التطبيق لفتح المسار.
وفقًا لـ Barnea ، يمكن أن تحتوي رسائل البريد الإلكتروني على تذكير يتضمن صوت تنبيه مخصص محدد كمسار باستخدام خاصية MAPI الممتدة باستخدام PidLidReminderFileParameter.
وأوضح “يمكن للمهاجم تحديد مسار UNC الذي من شأنه أن يتسبب في قيام العميل باسترداد ملف الصوت من أي خادم SMB”. “كجزء من الاتصال بخادم SMB البعيد ، يتم إرسال تجزئة Net-NTLMv2 في رسالة تفاوض.”
كان هذا الخلل سيئًا بما يكفي للحصول على تصنيف شدة CVSS من 9.8 من 10 واستغل من قبل فريق مرتبط بالروسية لمدة عام تقريبًا حتى تم إصدار التصحيح في مارس. استخدمته العصابة الإلكترونية في هجمات ضد منظمات في الحكومات الأوروبية ، وكذلك في مجالات النقل والطاقة والمجالات العسكرية.
للعثور على حل بديل للتصحيح الأصلي من Microsoft ، أراد Barna تصميم مسار تسميه MapUrlToZone كمنطقة محلية أو إنترانت أو موثوق بها – مما يعني أن Outlook يمكنه متابعتها بأمان – ولكن عند تمريره إلى وظيفة CreateFile لفتحه ، سيجعل نظام التشغيل أقول لك للاتصال بخادم بعيد.
اكتشف في النهاية أن المخالفات يمكن أن تغير عنوان URL في رسائل التذكير ، والتي خدعت اختبارات MapUrlToZone في رؤية المسارات البعيدة كمسارات محلية. ويمكن القيام بذلك بضغطة مفتاح واحدة ، مع إضافة “\” ثانية إلى المسار العالمي للتسمية (UNC).
كتب بارنيا: “قد يستخدم مهاجم إنترنت غير مصادق الثغرة الأمنية لإجبار عميل Outlook على الاتصال بخادم يتحكم فيه مهاجم”. “يتسبب في سرقة بيانات اعتماد NTLM. إنها ثغرة أمنية لا يتم النقر عليها ، مما يعني أنه يمكن تشغيلها دون تدخل المستخدم.”
وأضاف أن المشكلة تبدو أنها “نتيجة معالجة Windows المعقدة للمسارات. … نعتقد أن هذا النوع من الارتباك قد يتسبب في ثغرات أمنية في البرامج الأخرى التي تستخدم MapUrlToZone في مسار يتحكم فيه المستخدم ثم تستخدم عملية ملف ( مثل CreateFile أو واجهة برمجة تطبيقات مماثلة) على نفس المسار. “
العيب ، CVE-2023-29324، والتي لديها درجة خطورة CVSS تبلغ 6.5. توصي Microsoft المنظمات ليصلح كل من هذه الثغرة الأمنية – تم إصدار تصحيح كجزء من يوم الثلاثاء التصحيح لهذا الأسبوع – و CVE-2023-23397 الأقدم.
كتب بارنيا أنه يأمل أن تزيل Microsoft ميزة صوت التذكير المخصصة ، قائلة إنها تشكل مخاطر أمنية أكثر من أي قيمة محتملة للمستخدمين.
وكتب “هذا هو سطح هجوم يحلل الوسائط بدون نقرة والذي قد يحتوي على ثغرات أمنية خطيرة تتعلق بفساد الذاكرة”. “بالنظر إلى عدد النوافذ الموجودة في كل مكان ، فإن القضاء على سطح هجوم ناضج مثل هذا يمكن أن يكون له تأثيرات إيجابية للغاية.” ®
“Social media addict. Zombie fanatic. Travel fanatic. Music geek. Bacon expert.”
