Uma vulnerabilidade no Microsoft Outlook permitiu o roubo de senha do Windows de um usuário apenas fazendo com que o alvo visualizasse um e-mail com um anexo em formato Rich Text Format (RTF) que continha um objeto OLE hospedado remotamente.
O bug foi corrigido pela Microsoft como parte das correções April Patch Tuesday, mais de um ano depois de ter sido identificado pela primeira vez.
“Ao convencer um usuário a visualizar uma mensagem de e-mail contendo um RTF com o Microsoft Outlook, um invasor remoto não autenticado pode obter o endereço IP, nome de domínio, nome de usuário, nome de host e senha da vítima”, segundo a descrição da CERT da vulnerabilidade, encontrada por Will Dormann, pesquisador do CERT Coordination Center.
Em seguida, Dormann conseguiu decifrar os hashes de senha offline.
A vulnerabilidade (CVE-2018-0950) está vinculada à forma como o Object Linking and Embedding (OLE) do Windows funciona no contexto de arquivos .RTF. OLE é um protocolo do Windows que permite que os aplicativos compartilhem dados. Por exemplo, OLE permite que um autor de um documento incorpore conteúdo, como imagens e sons, de um programa em documentos do Microsoft Office como objetos.
A técnica de Dormann também usou o protocolo SMB (Server Message Block) do Windows. O SMB permite que um arquivo em um servidor remoto seja acessado de forma semelhante a como um arquivo em uma unidade local pode ser acessado, escreveu ele em um post descrevendo sua pesquisa.
Como o Outlook inclui a capacidade de enviar mensagens de e-mail rich text (RTF), Dormann conseguiu inserir um objeto (RTF) na mensagem de e-mail composta no Outloook. O objeto foi hospedado em um servidor remoto.
“Documentos RTF (incluindo mensagens de e-mail) podem incluir objetos OLE. Devido ao SMB, os objetos OLE podem estar em servidores remotos”, escreveu Dormann. Com um e-mail rich text (RTF), o objeto OLE é carregado sem interação do usuário quando o destinatário do e-mail visualiza a mensagem no Outlook.
A Microsoft há muito tenta impedir que imagens sejam carregadas automaticamente no Outlook devido ao risco de privacidade de web bugs. Às vezes, os web bugs são chamados de beacons de rastreamento e são usados pelos remetentes de e-mail para coletar metadados de usuários destinatários, como o endereço IP do sistema e a hora em que uma mensagem é visualizada.
A Microsoft não permite que mensagens do Outlook formatadas em Word e HTML exibam automaticamente OLE ou outro conteúdo, a menos que o usuário o permita. A lacuna encontrada por Dormann é com documentos RTF e metadados transmitidos através do canal SMB.
Usando o Wireshark, o analisador de pacotes gratuito e open-source, o pesquisador conseguiu identificar o endereço IP da vítima, nome de domínio, nome de usuário e hash de senha do Microsoft LAN Manager (NTLMv2).
“Um objeto OLE remoto em mensagens de e-mail em rich text funciona como um web bug em esteróides”, escreveu Dormann.
A vulnerabilidade existe porque o Outlook renderiza automaticamente conteúdo OLE e inicia uma autenticação automática com o servidor remoto controlado do invasor por meio do protocolo SMB usando Single Sign-On. Isso expõe o hash de senha do Windows da pessoa conectada ao PC.
A Microsoft foi notificada da vulnerabilidade em novembro de 2016 por Dormann, há mais de um ano.
O patch da Microsoft (CVE-2018-0950) impede que o Outlook inicie automaticamente as conexões SMB quando um e-mail RTF é visualizado. Porém, os pesquisadores da CERT sugerem que a correção poderia ser melhor.
“Observe que outras técnicas que exigem interação adicional com o usuário ainda funcionarão depois que o patch for instalado. Por exemplo, se um e-mail contiver um link UNC, como \\attacker\foo, o Outlook tornará este link clicável automaticamente. Se um usuário clicar em tal link, o impacto será o mesmo que com esta vulnerabilidade”, alerta o parecer do CERT.
Mitigação sugerida
A mitigação sugerida inclui bloquear o NT LAN Manager do Windows a partir da autenticação Single Sign-On e aplicar uma diretiva que exige que os usuários adotem senhas complexas resistentes a cracking.
.
.
Publicado originalmente no ThreatPost em 13 de abril de 2018.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tom Spring
Tradução por Tiago Souza
Imagem destacada deste post: freepik (banco de imagem)
.