قامت Microsoft في مارس بإصلاح ثغرة أمنية مثيرة للاهتمام في Outlook والتي استغلها الأوغاد لتسريب بيانات اعتماد Windows الخاصة بالضحايا. هذا الأسبوع ، قامت شركة تكنولوجيا المعلومات العملاقة بإصلاح هذا الإصلاح كجزء من تحديث يوم الثلاثاء الشهري الخاص به.
لتذكيرك بالخطأ الأصلي ، تم تعقبه كـ CVE-2023-23397: كان من الممكن إرسال بريد إلكتروني إلى شخص ما يتضمن تذكيرًا بصوت إشعار مخصص. يمكن تحديد هذا الصوت المخصص كمسار URL داخل البريد الإلكتروني.
إذا قام شخص خاطئ بصياغة بريد بعناية مع تعيين مسار الصوت هذا على خادم SMB بعيد ، فعندما يقوم Outlook بجلب الرسالة ومعالجتها ، وتتبع المسار تلقائيًا إلى خادم الملفات ، فسوف يسلم تجزئة Net-NTLMv2 للمستخدم في محاولة تسجيل الدخول. سيؤدي ذلك إلى تسريب التجزئة بشكل فعال إلى طرف خارجي ، والذي من المحتمل أن يستخدم بيانات الاعتماد للوصول إلى موارد أخرى مثل هذا المستخدم ، مما يسمح للمتطفلين باستكشاف أنظمة الشبكة الداخلية ، وسرقة المستندات ، وانتحال شخصية ضحيتهم ، وما إلى ذلك.
التصحيح من شهرين جعل Outlook يستخدم وظيفة Windows MapUrlToZone لفحص المكان الذي يشير إليه مسار صوت الإشعارات حقًا ، وإذا كان متصلاً بالإنترنت ، فسيتم تجاهله وسيتم تشغيل الصوت الافتراضي. كان من المفترض أن يؤدي ذلك إلى إيقاف اتصال العميل بخادم بعيد وتسريب التجزئة.
اتضح أنه يمكن تجاوز الحماية المستندة إلى MapUrlToZone ، مما دفع Microsoft إلى دعم إصلاحها في مارس في مايو. تم استغلال الخطأ الأصلي في البرية ، ولذلك عندما هبطت البقعة الخاصة به ، لفت انتباه الجميع. وقد ساعد هذا الاهتمام في الكشف عن أن الإصلاح كان غير مكتمل.
وإذا تم تركه غير مكتمل ، فيمكن لأي شخص يسيء استخدام الخطأ الأصلي استخدام الثغرة الأمنية الأخرى للالتفاف على التصحيح الأصلي. لكي نكون واضحين ، ليس الأمر أن إصلاح CVE-2023-23397 لم ينجح – لقد نجح – لم يكن كافيًا لإغلاق ثقب ملف الصوت المخصص تمامًا.
“هذه الثغرة الأمنية هي مثال آخر على فحص التصحيح الذي يؤدي إلى ثغرات وتجاوزات جديدة ،” قال بن بارنيا من Akamai ، الذي رصد وأبلغ عن تجاوز MapUrlToZone.
“على وجه التحديد بالنسبة لهذه الثغرة الأمنية ، تسمح إضافة حرف واحد بتجاوز تصحيح حرج.”
بشكل حاسم ، بينما كان الخطأ الأول في Outlook ، تكمن هذه المشكلة الثانية مع MapUrlToZone في تنفيذ Microsoft لهذه الوظيفة في Windows API. كتب بارنيا أن هذا يعني أن التصحيح الثاني ليس لبرنامج Outlook ولكن لمنصة MSHTML الأساسية في Windows ، وأن جميع إصدارات نظام التشغيل تتأثر بهذا الخطأ. تكمن المشكلة في أن المسار الذي تم إنشاؤه بشكل ضار يمكن تمريره إلى MapUrlToZone بحيث تحدد الوظيفة أن المسار ليس إلى الإنترنت الخارجي عندما يكون الأمر كذلك بالفعل عندما يأتي التطبيق لفتح المسار.
وفقًا لـ Barnea ، يمكن أن تحتوي رسائل البريد الإلكتروني على تذكير يتضمن صوت إشعار مخصص محدد كمسار باستخدام خاصية MAPI الممتدة باستخدام PidLidReminderFileParameter.
وأوضح “يمكن للمهاجم تحديد مسار UNC الذي من شأنه أن يتسبب في قيام العميل باسترداد ملف الصوت من أي خادم SMB”. “كجزء من الاتصال بخادم SMB البعيد ، يتم إرسال تجزئة Net-NTLMv2 في رسالة تفاوض.”
كان هذا الخلل سيئًا بما يكفي للحصول على تصنيف خطورة CVSS يبلغ 9.8 من أصل 10 وقد تم استغلاله من قبل طاقم مرتبط بروسيا لمدة عام تقريبًا بحلول وقت إصدار الإصلاح في مارس. استخدمته العصابة الإلكترونية في هجمات ضد منظمات في الحكومات الأوروبية بالإضافة إلى وسائل النقل والطاقة والمساحات العسكرية.
للعثور على تجاوز للتصحيح الأصلي من Microsoft ، أراد Barnea صياغة مسار تسميه MapUrlToZone على أنه محلي أو إنترانت أو منطقة موثوقة – مما يعني أن Outlook يمكنه متابعته بأمان – ولكن عند تمريره إلى وظيفة CreateFile لفتحه ، من شأنه أن يجعل نظام التشغيل اذهب للاتصال بخادم بعيد.
في النهاية وجد أن الأوغاد يمكنهم تغيير عنوان URL في رسائل التذكير ، والتي خدعت MapUrlToZone للتحقق من رؤية المسارات البعيدة كمسارات محلية. ويمكن أن يتم ذلك بضغطة مفتاح واحدة ، مع إضافة “\” ثانية إلى مسار اصطلاح التسمية العالمي (UNC).
كتب بارنيا: “قد يستخدم مهاجم غير مصدق على الإنترنت الثغرة الأمنية لإجبار عميل Outlook على الاتصال بخادم يتحكم فيه المهاجم”. “ينتج عن هذا سرقة بيانات اعتماد NTLM. إنها ثغرة أمنية لا يتم النقر عليها ، مما يعني أنه يمكن تشغيلها دون تدخل المستخدم.”
وأضاف أن المشكلة تبدو وكأنها “نتيجة المعالجة المعقدة للمسارات في Windows. … نعتقد أن هذا النوع من الارتباك يمكن أن يتسبب في حدوث ثغرات أمنية في البرامج الأخرى التي تستخدم MapUrlToZone في مسار يتحكم فيه المستخدم ثم تستخدم عملية ملف ( مثل CreateFile أو واجهة برمجة تطبيقات مماثلة) على نفس المسار. “
الخلل، CVE-2023-29324، لديه درجة خطورة CVSS تبلغ 6.5. توصي Microsoft المنظمات يصلح كل من هذه الثغرة الأمنية – تم إصدار تصحيح كجزء من Patch الثلاثاء هذا الأسبوع – بالإضافة إلى CVE-2023-23397 السابق.
كتب بارنيا أنه يأمل أن تقوم Microsoft بإزالة ميزة صوت التذكير المخصص ، قائلاً إنها تشكل مخاطر أمنية أكثر من أي قيمة محتملة للمستخدمين.
وكتب “إنه سطح هجوم يقوم بتحليل الوسائط بدون نقرة والذي يمكن أن يحتوي على ثغرات فساد حرجة في الذاكرة”. “بالنظر إلى مدى انتشار Windows في كل مكان ، فإن القضاء على سطح هجوم على أنه ناضج مثل هذا يمكن أن يكون له بعض التأثيرات الإيجابية للغاية.” ®
“معجب بوسائل التواصل الاجتماعي. باحث شغوف بثقافة البوب. محلل. لحم مقدد. عاشق شرير للطعام.”