مراقب باشید: افشای جزئیات جدیدی در مورد بهره‌بردارهای از راه دورِ Zero-Click در Outlook توسط کارشناسان

جزئیات فنی در مورد دو نقص امنیتی وصله شده در مایکروسافت ویندوز ظاهر شده است که می‌تواند توسط عوامل تهدید برای دستیابی به اجرای کد از راه دور در سرویس ایمیل Outlook بدون هرگونه تعامل با کاربر، اجرا شود.

بن بارنیا، محقق امنیتی Akamai که این آسیب‌پذیری‌ها را کشف کرده است، در گزارشی[۱] دوبخشی[۲] که با The Hacker News به اشتراک گذاشته شده است، گفت: «یک مهاجم در اینترنت می‌تواند آسیب‌پذیری‌ها را به هم متصل کند تا یک بهره‌بردار کامل و بدون کلیک اجرای کد از راه دور (RCE) علیه مشتریان Outlook ایجاد کند.”

مسائل امنیتی که به ترتیب در ماه اوت[۳] و اکتبر[۴] ۲۰۲۳ توسط مایکروسافت موردبررسی قرار گرفت، در زیر ذکرشده است:

• CVE-2023-35384 (امتیاز ۴/۵ در مقیاس CVSS) – آسیب‌پذیری دور زدن ویژگی امنیتی پلتفرم‌های ویندوز HTML
• CVE-2023-36710 (امتیاز ۸/۷ در مقیاس CVSS) – آسیب‌پذیری اجرای کد از راه دور هسته Windows Media Foundation

CVE-2023-35384 توسط Akamai به‌عنوان یک دور زدن نقص امنیتی مهم توصیف شده است که مایکروسافت آن را در مارس ۲۰۲۳ وصله کرد. این نقص که به‌عنوان CVE-2023-23397 (امتیاز ۸/۹ در مقیاس CVSS) ردیابی شده است[۵]، به موردی از افزایش امتیاز مربوط می‌شود که می‌تواند منجر به سرقت اعتبار NTLM شود[۶] و مهاجم را قادر می‌سازد تا یک حمله رله را انجام دهد.

در اوایل این ماه، مایکروسافت، Proofpoint و Palo Alto Networks Unit 42 فاش کردند که یک عامل تهدید روسی معروف به APT29 به‌طور فعال[۷] از این باگ برای دسترسی غیرمجاز به حساب‌های قربانیان در سرورهای Exchange استفاده می‌کند[۸].

شایان‌ذکر است که CVE-2023-35384 همچنین دومین وصله دور زدن پس از CVE-2023-29324 است[۹] که توسط Barnea نیز کشف شد و متعاقباً توسط Redmond به‌عنوان بخشی از به‌روزرسانی‌های امنیتی مه ۲۰۲۳ اصلاح شد.

بارنیا گفت: «ما یک دور زدن دیگر برای آسیب‌پذیری اصلی Outlook پیدا کردیم – یک دور زدن که بار دیگر به ما اجازه می‌دهد تا مشتری را مجبور کنیم به یک سرور تحت کنترل مهاجم متصل شود و یک فایل صوتی مخرب را دانلود کند.»

CVE-2023-35384، مانند CVE-2023-29324، در تجزیه یک مسیر توسط تابع MapUrlToZone ریشه دارد[۱۰] که می‌تواند با ارسال یک ایمیل حاوی یک فایل مخرب یا یک URL به مشتری Outlook مورد بهره‌برداری قرار گیرد.

مایکروسافت در گزارشی خاطرنشان کرد: “یک آسیب‌پذیری دور زدن ویژگی امنیتی زمانی وجود دارد که پلت فرم MSHTML نتواند منطقه امنیتی صحیح درخواست‌ها را برای URL های خاص اعتبار سنجی کند. این می‌تواند به مهاجم اجازه دهد تا کاربر به یک URL در یک منطقه امنیتی اینترنتی محدودتر ازآنچه در نظر گرفته‌شده است دسترسی داشته باشد.”

در انجام این کار، این آسیب‌پذیری نه‌تنها می‌تواند برای افشای اعتبار NTLM مورداستفاده قرار گیرد، بلکه می‌تواند با نقص تجزیه صدا (CVE-2023-36710) برای دانلود یک فایل صوتی سفارشی که هنگام پخش خودکار با استفاده از ویژگی صدای یادآور Outlook، زنجیره شود که منجر به اجرای کد با کلیک صفر روی ماشین قربانی می‌شود.

CVE-2023-36710 بر مؤلفه Audio Compression Manager (ACM) تأثیر می‌گذارد[۱۱]، یک چارچوب چندرسانه‌ای قدیمی ویندوز است که برای مدیریت کدک‌های صوتی استفاده می‌شود، و نتیجه آسیب‌پذیری سرریز اعداد صحیح است که هنگام پخش یک فایل WAV رخ می‌دهد.

Barnea توضیح داد: “درنهایت، ما موفق شدیم این آسیب‌پذیری را با استفاده از کدک IMA ADP فعال کنیم. اندازه فایل تقریباً ۱٫۸ گیگابایت است. با انجام عملیات ریاضی روی محاسبه می‌توان نتیجه گرفت که کوچک‌ترین اندازه فایل ممکن با کدکIMA ADP  یک گیگابایت است.”

برای کاهش خطرات، توصیه می‌شود که سازمان‌ها از microsegmentation برای مسدود کردن اتصالات SMB خروجی به آدرس‌های IP عمومی راه دور استفاده کنند. علاوه بر این، همچنین توصیه کرد که NTLM را غیرفعال کنید یا کاربران را به گروه امنیتی کاربران محافظت‌شده[۱۲] اضافه کنید، که از استفاده از NTLM به‌عنوان مکانیزم احراز هویت جلوگیری می‌کند.

منابع

[۱] https://www.akamai.com/blog/security-research/chaining-vulnerabilities-to-achieve-rce-part-one

[۲] https://www.akamai.com/blog/security-research/chaining-vulnerabilities-to-achieve-rce-part-two

[۳] https://thehackernews.com/2023/10/microsoft-releases-october-2023-patches.html

[۴] https://apa.aut.ac.ir/?p=9910

[۵] https://thehackernews.com/2023/03/microsoft-warns-of-stealthy-outlook.html

[۶] https://apa.aut.ac.ir/?p=10027

[۷] https://thehackernews.com/2023/07/critical-zero-days-in-atera-windows.html

[۸] https://thehackernews.com/2023/12/microsoft-warns-of-kremlin-backed-apt28.html

[۹] https://thehackernews.com/2023/05/experts-detail-new-zero-click-windows.html

[۱۰] https://learn.microsoft.com/en-us/previous-versions/windows/internet-explorer/ie-developer/platform-apis/ms537133(v=vs.85)

[۱۱] https://learn.microsoft.com/en-us/windows/win32/multimedia/how-the-audio-compression-manager-works

[۱۲] https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group

[۱۳] https://thehackernews.com/2023/12/beware-experts-reveal-new-details-on.html