اطلاعات آسیب پذیری مهم Microsoft Outlook توسط یکی از محققان امنیتی در ماه جاری منتشر شد و سرانجام این شرکت یک پچ ناقص برای این برنامه پس از گذشت تقریبا 18 ماه از ارائه ی گزارش این نقص امنیتی منتشر کرد. آسیب پذیری Microsoft Outlook به مهاجمان این اجازه را می دهد تا به اطلاعات مهمی از جمله اطلاعات ورود به ویندوز دسترسی پیدا کنند؛ این امر تنها با متقاعد شدن کاربر به ارائه ی پیش نمایش از یک ایمیل در برنامه ی Microsoft Outlook امکان پذیر می باشد.
این نقص امنیتی از طرف Will Dormann (ویل دورمن) از مرکز هماهنگی CERT (CERT/CC) کشف شد. این دسترسی به اطلاعات برمبنای دسترسی از راه دور Microsoft Outlook است و زمانی اتفاق می افتد که یک ایمیل RFT (Rich Text Format) را بصورت پیش نمایش ببینید؛ در هنگام مشاهده ی پیش نمایش این دست ایمیل ها، ایمیل بصورت اتوماتیک وارد ارتباطات SMB می شود و زمینه دسترسی به اطلاعات را فراهم می سازد.
مهاجمان (هکرها) در این روش می توانند با ارسال یک ایمیل RFT با محتوای یک فایل image ارائه دهنده ی دسترسی از راه دور (OLE Object) که از طرف سرور SMB هکر بارگیری شده است به اطلاعات قربانی دسترسی یابند.
به این علت که Microsoft Outlook بصورت خودکار محتوای OLE ارائه می دهد، بصورت اتوماتیک به مهاجمان اجازه ی کنترل از راه دور سرور SMB که از پروتکل Single Dign-On (SSO) استفاده می کند را می دهد و مهاجم با استفاده از این راه می تواند به نام کاربری و یک نسخه ی NTLMv2 رمز عبور دسترسی پیدا کند که این اطلاعات راه را برای دسترسی به سیستم قربانی هموارتر می کند.
NTLM نسخه ی دو SMB یک تقویت کننده ی حمله است. ” این بدین معنی است که ممکن است NTLM شامل اطلاعاتی مانند IP، نام دامنه، نام کاربری، نام هاست و هش پسورد قربانی باشد.” و اگر رمز عبور کاربر پیچیده نباشد مهاجم می تواند در مدت زمان کوتاهی به رمز عبور کاربر دسترسی پیدا کند.
Dormann (دورمن) گزارش آسیب پذیری Microsoft Outlook را در نوامبر سال 2016 ارائه داد و مایکروسافت پس از 18 ماه در آپریل 2018 یک پچ ناقص برای این برنامه ارائه داد. بدین دلیل به پچ ارائه شده از سوی شرکت مایکروسافت برای Microsoft Outlook ناقص می گوییم که پچ امنیتی ارائه شده از سوی مایکروسافت تنها زمان ارائه پیش نمایش از یک ایمیل RFT مانع خروج از Microsoft Outlook برای دسترسی به ارتباطات SMB می شود و مهندسان این شرکت هنوز راه حمله ی مهاجمان را بصورت کامل مسدود نکرده اند.
Dormann (دورمن) می گوید:
“این پچ از قربانیان محافظت نمی کند و اگر ایمیل حاوی یک لینک UNC باشد که با “//” آغاز می شود و قربانی برروی آن کلیک کند، مراحل اتصال به سرور SMB مشخص شده آغاز می شود.”
اگر شما از آخرین آپدیت مایکروسافت (CVE-2018-0950) استفاده می کنید، شما تا حدودی ایمن هستید؛ اما مهاجمان باز هم می توانند از این طریق به اطلاعات شما دسترسی داشته باشند و ما در این رابطه به کاربران ویندوز و بخصوص مدیران شبکه در شرکت ها نکات زیر را توصیه می کنیم:
- از آخرین آپدیت ویندوز استفاده کنید.
- بلوک های خاص پورت های (445/tcp, 137/tcp, 139/tcp, along with 137/udp and 139/udp) برای ورودی و خروجی SMB مورد استفاده قرار می گیرند.
- بلوک های NT LAN Manager (NTLM) , Single Sign-on (SSO) برای تایید هویت استفاده می شوند.
- هنگام باز کردن ایمیل ها برروی لینک های مشکوک کلیک نکنید.
- همیشه سعی کنید از رمز عبور های پیچیده استفاده کنید که حتی اگر هش آن بسرقت رفت، باز هم یافتنش کار سخت و غیرممکنی باشد.
