Lỗ hổng Microsoft Outlook cho phép hacker lấy cắp mật khẩu Windows dễ dàng

500

Lỗ hổng Microsoft Outlook cho phép hacker lấy cắp mật khẩu Windows dễ dàng | Một chuyên gia bảo mật vừa tiết lộ chi tiết về một lỗ hổng nghiêm trọng trong Microsoft Outlook. Lỗ hổng đã khiến Microsoft phát hành một bản vá lỗi chưa hoàn chỉnh ngay trong trong tháng 4/2018 này – gần 18 tháng sau khi lỗ hổng được báo cáo.

Lỗ hổng Microsoft Outlook (CVE-2018-0950) cho phép hacker đánh cắp thông tin nhạy cảm, gồm cả thông tin đăng nhập Windows của người dùng. Thông qua việc khiến nạn nhân xem trước một email Microsoft Outlook, lỗ hổng này sẽ hoạt động mà không cần thêm bất kỳ tương tác nào khác.

Lỗ hổng này được Will Dormann thuộc Trung tâm Điều phối CERT (CERT/CC) phát hiện. Nó tồn tại nhờ việc Microsoft Outlook hiển thị nội dung OLE được lưu trữ từ xa khi một email RTF (Rich Text Format) được xem trước và tự động khởi tạo các kết nối SMB.

Kẻ tấn công từ xa khai thác lỗ hổng này bằng cách gửi một email RTF tới nạn nhân. Trong email đó có chứa một file ảnh được lưu trữ từ xa (OLE object), tải từ máy chủ SMB mà hacker kiểm soát.

Do Microsoft Outlook tự động hiển thị nội dung OLE nên nó sẽ tự động xác thực với máy chủ từ xa do hacker điều khiển. Thông qua giao thức SMB sử dụng cơ chế đăng nhập một lần (SSO), hacker sẽ thu thập username và password NTLMv2 đã được hash của nạn nhân. Các thông tin này cho phép hacker truy cập vào hệ thống của nạn nhân.

Trung tâm CERT của Mỹ cho biết: “Lỗ hổng này có thể làm rò rỉ địa chỉ IP, domain, username, hostname và password hash của người dùng. Nếu mật khẩu người dùng không đủ phức tạp thì hacker có thể crack mật khẩu chỉ trong thời gian ngắn.”

Nếu bạn đang nghĩ, tại sao máy tính Windows của mình lại tự động giao quyền kiểm soát cho máy chủ SMB của hacker, hãy xem hình dưới đây:

Đây là cách mà xác thực qua giao thức SMB (Server Message Block) hoạt động, kết hợp với cơ chế xác thực yêu cầu/phản hồi NTLM như được mô tả trong hình dưới đây. Dormann đã báo cáo lỗ hổng này với Microsoft vào tháng 11/2016. Và công ty đã phát hành bản vá chưa hoàn thiện vào tháng 4/2018 – gần 18 tháng sau đó.

Bản vá này chỉ ngăn Outlook tự động khởi tạo các kết nối SMB khi bạn xem trước các email RTF. Các chuyên gia cũng lưu ý rằng bản vá không ngăn được tất cả các cuộc tấn công SMB.

Dormann nói thêm: “Điều quan trọng là người dùng phải nhận ra rằng, dù có bản vá, nhưng họ vẫn có nguy cơ trở thành nạn nhân của lỗ hổng này chỉ với một click chuột. Ví dụ, nếu một email chứa liên kết UNC bắt đầu bằng “\\“, việc nhấp vào liên kết này sẽ tạo ra một kết nối SMB đến máy chủ đã chỉ định.

Dù bạn đã cài đặt bản vá mới nhất của Microsoft lỗ hổng Outlookcho , nhưng hacker vẫn có thể khai thác lỗ hổng này. Vì vậy, người dùng Windows, đặc biệt là quản trị viên mạng tại doanh nghiệp, nên làm theo các bước dưới đây để giảm thiểu nguy cơ dính lỗ hổng này.
• Cập nhật bản vá của Microsoft cho lỗ hổng CVE-2018-0950.
• Chặn các cổng cụ thể (445/tcp, 137/tcp, 139/tcp, 137/udp và 139/udp) được sử dụng cho các phiên SMB đến và đi.
• Chặn xác thực đăng nhập một lần (SSO) NT LAN Manager (NTLM).
• Luôn dùng mật khẩu phức tạp, không dễ bị crack kể cả khi password hash bị đánh cắp (có thể dùng trình quản lý mật khẩu để hỗ trợ).
• Không nhấp vào các liên kết đáng ngờ trong email.

Nguồn: thehackernews – cuongquach.com

Đánh giá sao từ người đọc :
[ Tổng : 2 - Trung bình: 3.5 ]