يمكن استغلال ثغرة أمنية تم تصحيحها الآن في مايكروسوفت أوتلوك Microsoft Outlook من قبل جهات التهديد للوصول إلى كلمات مرور NT LAN Manager (NTLM) v2 المجزأة عند فتح ملف معد خصيصًا.

NTLM v2 (NT LAN Manager version 2) هو بروتوكول مصمم للمصادقة وتأمين الاتصالات في بيئات شبكات Windows. يستخدم NTLM v2 لتوفير طريقة للتحقق من هوية المستخدم وتأمين الاتصالات بين العملاء والخوادم في نظام التشغيل Windows.

NTLM v2 هو تحسين للإصدار السابق NTLM v1 ، وتم تطويره لتعزيز أمان المصادقة وتقليل الثغرات الأمن

تمت معالجة المشكلة، التي تم تتبعها باسم CVE-2023-35636 (درجة CVSS: 6.5)، بواسطة عملاق التكنولوجيا كجزء من تحديثات تصحيح الثلاثاء لشهر ديسمبر 2023.

وقالت مايكروسوفت في تقرير استشاري صدر الشهر الماضي : "في سيناريو هجوم البريد الإلكتروني، يمكن للمهاجم استغلال الثغرة الأمنية عن طريق إرسال الملف المصمم خصيصًا إلى المستخدم وإقناع المستخدم بفتح الملف" .

في سيناريو الهجوم على الويب، يمكن للمهاجم استضافة موقع ويب (أو الاستفادة من موقع ويب مخترق يقبل أو يستضيف المحتوى المقدم من المستخدم) يحتوي على ملف معد خصيصًا مصمم لاستغلال الثغرة الأمنية.

وبعبارة أخرى، سيتعين على الخصم إقناع المستخدمين بالنقر فوق رابط، إما مضمن في رسالة بريد إلكتروني تصيدية أو مرسل عبر رسالة فورية، ثم خداعهم لفتح الملف المعني.

CVE-2023-35636 متأصل في وظيفة مشاركة التقويم في تطبيق البريد الإلكتروني في Outlook، حيث يتم إنشاء رسالة بريد إلكتروني ضارة عن طريق إدراج رأسين "Content-Class" و"x-sharing-config-url" مع القيم المعدة بالترتيب لكشف تجزئة NTLM الخاصة بالضحية أثناء المصادقة.

قال الباحث الأمني ​​في Varonis، Dolev Taler، الذي كان له الفضل في اكتشاف الخطأ والإبلاغ عنه، إن تجزئات NTLM يمكن تسريبها من خلال الاستفادة من Windows Performance Analyzer (WPA) وWindows File Explorer. ومع ذلك، تظل طريقتا الهجوم هاتان دون تصحيح.

وقال تالر: "ما يجعل هذا الأمر مثيرًا للاهتمام هو أن WPA يحاول المصادقة باستخدام NTLM v2 عبر الويب المفتوح" .

"عادةً، يجب استخدام NTLM v2 عند محاولة المصادقة ضد الخدمات الداخلية المستندة إلى عنوان IP. ومع ذلك، عندما يمر تجزئة NTLM v2 عبر الإنترنت المفتوح، فإنه يكون عرضة لهجمات القوة الغاشمة للترحيل وغير المتصلة بالإنترنت."

ويأتي هذا الكشف في الوقت الذي كشفت فيه Check Point عن حالة "المصادقة القسرية" التي يمكن استخدامها كسلاح لتسريب رموز NTLM الخاصة بمستخدم Windows عن طريق خداع الضحية لفتح ملف Microsoft Access مخادع.

أعلنت Microsoft، في أكتوبر 2023، عن خطط لإيقاف NTLM في نظام التشغيل Windows 11 لصالح Kerberos لتحسين الأمان نظرًا لحقيقة أنه لا يدعم أساليب التشفير ويكون عرضة لهجمات الترحيل.

المصدر: The hacker news