Lỗ hổng trong Microsoft Outlook cho phép hacker dễ dàng đánh cắp mật khẩu Windows

[WhiteHat News #ID:2017]

Lỗ hổng Microsoft Outlook (CVE-2018-0950) có thể cho phép hacker đánh cắp thông tin nhạy cảm, bao gồm thông tin đăng nhập Windows của người dùng, thông qua việc thuyết phục nạn nhân xem trước một email bằng Microsoft Outlook mà không yêu cầu thêm bất kỳ tương tác nào từ người dùng.

Lỗi được chuyên gia Will Dormann phát hiện, nằm trong cách thức Microsoft Outlook hiển thị nội dung OLE được lưu trữ từ xa khi tin nhắn email RTF (Rich Text Format) được xem trước và tự động khởi tạo các kết nối SMB.

Kẻ tấn công từ xa có thể khai thác lỗ hổng này bằng cách gửi một email RTF đến nạn nhân, trong email có một file hình ảnh lưu trữ từ xa (OLE object), tải từ máy chủ SMB mà hacker điều khiển.

Vì Microsoft Outlook tự động hiển thị nội dung OLE nên nó sẽ tự động xác thực với máy chủ từ xa do hacker kiểm soát thông qua giao thức SMB sử dụng cơ chế xác thực 1 lần SSO, từ đó lấy được username và mật khẩu dạng NTLMv2 đã băm của nạn nhân. Điều này có thể giúp hacker chiếm quyền truy cập vào hệ thống của nạn nhân.

Trung tâm ứng cứu khẩn cấp máy tính Mỹ US CERT giải thích: "Điều này có thể làm rò rỉ địa chỉ IP, tên miền, username, tên máy chủ và băm mật khẩu của người dùng. Nếu mật khẩu của người dùng không đủ phức tạp thì hacker có thể crack mật khẩu trong một khoảng thời gian ngắn".

Nếu bạn đang nghĩ, tại sao máy tính Windows của bạn có thể tự động chuyển thông tin đăng nhập của bạn tới máy chủ SMB của kẻ tấn công?

Đây là cách chứng thực qua giao thức SMB (Server Message Block) hoạt động kết hợp với cơ chế xác thực phản hồi/ NTLM challenge, như mô tả trong hình dưới đây.

Dormann đã báo lỗ hổng của Microsoft vào tháng 11/2016. Công ty này đã phát hành bản sửa lỗi chưa hoàn chỉnh trong gói bản vá Patch Tuesday của tháng 4/2018 - tức là gần 18 tháng kể từ nhận được báo cáo.

Bản vá chỉ ngăn Outlook tự động khởi tạo các kết nối SMB khi xem trước các email RTF nhưng không ngăn được tất cả các cuộc tấn công SMB.

Chuyên gia Dormann giải thích: "Điều quan trọng là ngay cả khi đã cập nhật bản vá, chỉ với một cú nhấp chuột duy nhất người sử dụng đã trở thành nạn nhân của các loại tấn công trên. Ví dụ, nếu một email có đường liên kết theo style UNC bắt đầu bằng" \\ ", khi nhấp vào liên kết sẽ tạo một kết nối SMB đến máy chủ đã chỉ định".

Nếu bạn đã cài đặt bản vá mới nhất của Microsoft, kẻ tấn công vẫn có thể khai thác lỗ hổng này. Vì vậy, người dùng Windows, đặc biệt là quản trị viên mạng tại các doanh nghiệp, nên làm theo các bước dưới đây để phòng chống lỗ hổng này:

• Cập nhật bản vá Microsoft cho CVE-2018-0950, nếu chưa cập nhật.
• Chặn một số cổng cụ thể (445/tcp, 137/tcp, 139/tcp, cùng với 137/udp và 139/udp) được dùng cho các phiên SMB đến và đi.
• Chặn xác thực NT LAN Manager (NTLM) đăng nhập một lần (SSO).
• Luôn luôn sử dụng các mật khẩu phức tạp, không dễ bị crack ngay cả mật khẩu bị đánh cắp (bạn có thể sử dụng trình quản lý mật khẩu để tạo mật khẩu phức tạp).
• Quan trọng nhất, không click vào các link đáng ngờ trong các email.

Theo Hackernews​