Güvenlik araştırmacıları, Microsoft Outlook’daki bir zafiyet nedeniyle saldırganlar tarafından gönderilen zararlı takvim davetlerinin şifreleri sızdırabileceğini belirtiyor.
CVE-2023-35636 olarak izlenen Outlook zafiyeti, 12 Aralık’ta yamalandı. Diğer iki bildirilen zafiyet, Windows Performance Analyzer (WPA) ve Windows File Explorer (WFE) ile ilgiliydi ve Microsoft tarafından kapatıldı.
1 Tıklama ile Takvim Fonksiyonu Aracılığıyla Şifre Sızdırıyor
Outlook’ta bir takvim davetini kabul etmek, bazen bir iCalendar (.ics) dosyasını açmayı gerektirebilir. Bu format, etkinliklerin ve diğer takvim verilerinin paylaşılmasına ve kendi takvim uygulamasına eklenmesine olanak tanır.
Örneğin, bir Outlook kullanıcısı, Google Calendar kullanıcısından bir takvim davetini kabul edebilir ve Outlook, .ics’den etkinlik detaylarını almak için bir istek gönderebilir.
CVE-2023-35636, manipüle edilmiş e-posta header’ları kullanarak parolanın sızdırılmasına neden takvim paylaşım sürecinde NTLM v2 hash parolalarını sızdırmaya neden oluyor.
İlk olarak, saldırganın “content-class”ın “sharing” olduğunu belirten bir başlık eklemesi gerekiyor ve ikinci olarak, saldırganın “x-sharing-config-url” başlığını eklemesi gerekiyor, bu başlık saldırganın kendi makinesindeki bir .ics dosyasına yönlendiriliyor.
Outlook kullanıcısı takvim davet bağlantısına tıkladığında (örneğin “Bu iCal’ı aç” gibi bir uyarı ile), Outlook, .ics dosyasını almak için saldırganın makinesine kimlik doğrulama yapmaya çalıştığında şifrelenmiş parola ortaya çıkıyor.
CVE-2023-35636 için bir yama, 12 Aralık’ta Microsoft Office ve Microsoft 365 güncellemelerine dahil edildi. Bu zafiyet, 6.5 CVSS puanına sahip orta düzeyde bir zafiyet olarak değerlendirildi.
NTLM hash saldırılarına karşı korunma
NTLM’nin yerine Kerberos kimlik doğrulaması kullanmak. Kerberos’un, zaman sınırlı, oturum özel biletleri kullanarak kimlik doğrulamasını gerçekleştirmesi, brute force ve kimlik doğrulama taktiklerine karşı koruma sağlıyor.
Her zaman olduğu gibi, organizasyonlar tüm yazılım yamaları ile güncel kalmalı ve takvim daveti kötü niyetli kullanım gibi çeşitli phishing taktikleri hakkında bilgi sahibi olmalıdır.