كشف الباحثون كيف يمكن لثغرة أمنية في Outlook تسريب كلمات مرور NTLM الخاصة بك

تمت معالجة المشكلة، التي تم تتبعها باسم CVE-2023-35636 (درجة CVSS: 6.5)، بواسطة عملاق التكنولوجيا كجزء من تحديثات تصحيح الثلاثاء لشهر ديسمبر 2023.

وقالت مايكروسوفت في تقرير استشاري صدر الشهر الماضي : "في سيناريو هجوم البريد الإلكتروني، يمكن للمهاجم استغلال الثغرة الأمنية عن طريق إرسال الملف المصمم خصيصًا إلى المستخدم وإقناع المستخدم بفتح الملف" .

"في سيناريو الهجوم على الويب، يمكن للمهاجم استضافة موقع ويب (أو الاستفادة من موقع ويب مخترق يقبل أو يستضيف المحتوى المقدم من المستخدم) يحتوي على ملف معد خصيصًا مصمم لاستغلال الثغرة الأمنية."

وبعبارة أخرى، سيتعين على الخصم إقناع المستخدمين بالنقر فوق رابط، إما مضمن في رسالة بريد إلكتروني تصيدية أو مرسل عبر رسالة فورية، ثم خداعهم لفتح الملف المعني.

CVE-2023-35636 متأصل في وظيفة مشاركة التقويم في تطبيق البريد الإلكتروني في Outlook، حيث يتم إنشاء رسالة بريد إلكتروني ضارة عن طريق إدراج رأسين "Content-Class" و"x-sharing-config-url" مع القيم المعدة بالترتيب لكشف تجزئة NTLM الخاصة بالضحية أثناء المصادقة.

قال الباحث الأمني ​​في Varonis، Dolev Taler، الذي كان له الفضل في اكتشاف الخطأ والإبلاغ عنه، إن تجزئات NTLM يمكن تسريبها من خلال الاستفادة من Windows Performance Analyzer (WPA) وWindows File Explorer. ومع ذلك، تظل طريقتا الهجوم هاتان دون تصحيح.

وقال تالر: "ما يجعل هذا الأمر مثيرًا للاهتمام هو أن WPA يحاول المصادقة باستخدام NTLM v2 عبر الويب المفتوح" .

"عادةً، يجب استخدام NTLM v2 عند محاولة المصادقة ضد الخدمات الداخلية المستندة إلى عنوان IP. ومع ذلك، عندما يمر تجزئة NTLM v2 عبر الإنترنت المفتوح، فإنه يكون عرضة لهجمات القوة الغاشمة للترحيل وغير المتصلة بالإنترنت."

يأتي هذا الكشف في الوقت الذي كشفت فيه Check Point عن حالة "المصادقة القسرية" التي يمكن استخدامها كسلاح لتسريب رموز NTLM الخاصة بمستخدم Windows عن طريق خداع الضحية لفتح ملف Microsoft Access مخادع.

أعلنت Microsoft، في أكتوبر 2023، عن خطط لإيقاف NTLM في نظام التشغيل Windows 11 لصالح Kerberos لتحسين الأمان نظرًا لحقيقة أنه لا يدعم أساليب التشفير ويكون عرضة لهجمات الترحيل.