2023/03/15

Falha no Outlook permitia roubo de passwords por via do som das notificações

A MS corrigiu uma vulnerabilidade no Outlook que permitia roubar as hashes de passwords de autenticação com o simples envio de um email, sem necessidade de interacção do utilizador.

Este bug de segurança de nível crítico estava a ser utilizado por hackers russos desde Abril de 2022. E o ponto de entrada pode ser considerado caricato. Aparentemente, o Outlook permite que o remetente de um email possa definir o som que será tocado para notificar o destinatário no caso de emails, eventos de calendário e tarefas (quem é que terá achado que isso seria boa ideia?).

Mas neste caso, não se trata de uma vulnerabilidade que aproveita falhas no processamento de ficheiros multimédia, mas simplesmente dizendo que esse ficheiro áudio está num servidor externo, fazendo com que Outlook alegremente efectue o processo de autenticação NTLM, enviando os dados directamente para os atacantes.


É literalmente um caso que pode ser equiparado a obter as hashes das passwords com um simples pedido cordial via email.

A MS disponibilizou um script que verifica se as empresas foram afectadas por ataques deste tipo, e que consiste em verificar se existem emails, eventos de calendário e tasks, que tenham o tal som de notificação definido para algo num servidor externo.

1 comentário: