سرقت گذرواژه‌ی ويندوز با استفاده از نقص موجود در Microsoft Outlook

چهارشنبه ۲۹ فروردین ۱۳۹۷
آسیب‌پذیری موجود در Microsoft Outlook به هکرها و مجرمان سایبری اجازه می‌دهد تا گذرواژه‌ی ویندوز کاربران را به سرقت برده و از اطلاعات آنها سوءاستفاده کنند.
مرکز آپا شریف
SUT-APA-LOGO

یک محقق امنیتی، جزئیات آسیب‌پذیری مهم در Microsoft Outlook را منتشر کرد. این آسیب‌پذیری در Outlook (CVE-2018-0950) به هكرها و مجرمان سایبری اجازه می‌دهد تا گذرواژه‌‌ای را که كاربران در هنگام ورود به ویندوز استفاده می‌كردند، به‌سرقت برده و از اطلاعات ذخیره‌شده‌ی آن‌ها بر روی رایانه، سوءاستفاده كنند.
روش و نحوه عملكرد این ضعف امنیتی بدین‌صورت است كه هكرها با ارسال یك پست الکترونیکی به سرویسMicrosoft Outlook و متقاعدکردن کاربران به بازكردن و خواندن آن، به رایانه و اطلاعات آن‌ها نفوذ پیدا كرده و داده‌های محرمانه و شخصی آن‌ها را به‌سرقت می‌برند.
این آسیب‌پذیری که توسط «وی دورمن» از مرکز هماهنگی CERT (CERT/CC) کشف شد، زمانی می‌تواند مورد سوءاستفاده قرار گیرد کهMicrosoft Outlook ، محتوای OLE (بیش‌تر در اسناد تولید‌شده در مایکروسافت آفیس برای جاسازی داده به کار می‌رود) میزبان‌شده از راه دور را زمانی که یک پیام RTF (متن غنی‌شده) از پست الکترونیکی پیش‌نمایش داده می‌شود، تحویل می‌دهد و به‌طور خودکار اتصالات SMB (پروتکلی برای دسترس و به ‌اشتراک‌گذاری فایل‌ها) را ایجاد می‌کند.
مهاجم از راه دور می‌تواند با ارسال یک پست الکترونیکی RTF به یک قربانی هدف که شامل یک فایل تصویری میزبان‌شده از راه دور (OLE object) است و از کارگزار SMB کنترل‌شده توسط مهاجم بارگذاری می‌شود، از این آسیب‌پذیری سوءاستفاده کند.
ازآنجایی‌که Microsoft Outlook به‌طور خودکار محتوای OLE را تحویل می‌دهد، یک احراز هویت خودکار را با کارگزار از راه دور کنترل‌شده توسط مهاجم، بر روی پروتکل SMB و با استفاده از تأیید هویت تک‌ورودی (SSO) آغاز می‌کند (یک کاربر به سایت‌ها و برنامه‌های مختلف تنها با یک نام کاربری و گذرواژه‌ی یکسان وارد می‌شود) و نام کاربری قربانی و نسخه‌ی هش‌شده‌ی‌ NTLMv2 از گذرواژه را تحویل می‌دهد. این کار به مهاجم اجازه می‌دهد تا به‌طور بالقوه به سیستم قربانی دسترسی پیدا کند.
طبق توضیحات US-CERT، این کار ممکن است آدرس IP کاربر، نام دامنه، نام کاربری، نام میزبان و هش گذرواژه را افشا کند. اگر گذرواژه‌ی کاربر به‌اندازه‌ی کافی پیچیده نباشد، ممکن است یک مهاجم بتواند آن‌ها در مدت کوتاهی دستکاری کند.
دورمن این آسیب‌پذیری را در ماه نوامبر سال 2016 به مایکروسافت گزارش کرد. این شرکت در به‌روزرسانی روز سه‌شنبه 10 آوریل، تقریباً 18 ماه پس از ارایه‌ی گزارش دورمن، به‌طور ناقص وصله‌ای را منتشر کرد. 
وصله‌ی امنیتی منتشرشده تنها مانع از شروع خودکار Outlook به ارتباطات SMB در هنگام نمایش پست الکترونیکی‌های RTF می‌شود؛ اما این محقق می‌گوید که این وصله اصلاً از حملات SMB جلوگیری نمی‌کند. به گفته‌ی دورمن، کاربران باید بدانند که حتی با این وصله، هنوز هم در معرض خطر قربانی‌شدن به انواع حملاتی که در بالا شرح داده شد، هستند. به‌عنوان‌مثال، اگر یک پیام پست الکترونیکی، حاوی لینکی به سبک UNC باشد که با “\” شروع می‌شود، کلیک‌کردن بر روی لینک، موجب آغاز یک اتصال SMB به کارگزار مشخص‌شده می‌شود.
بنابراین، به کاربران ویندوز، به‌خصوص مدیران شبکه در شرکت‌ها توصیه می‌شود که مراحل زیر را برای کاهش آسیب‌پذیری‌ها دنبال کنند:

دریافت به‌روزرسانی مایکروسافت برای CVE-2018-0950
مسدودکردن درگاه‌های خاص (445/tcp، 137/tcp، 139/tcp همراه با 137/udp و 139/udp) که برای جلسات ورودی و خروجی SMB استفاده می‌شوند
مسدودکردن تأیید هویت تک‌ورودی  NT LAN Manager (NTLM)
استفاده از گذرواژه‌ی پیچیده‌ای که به‌راحتی قابل هک‌شدن نباشد
کلیک‌نکردن بر روی لینک‌های مشکوک در پست‌های الکترونیکی