Microsoft Outlook中的缺陷讓黑客輕鬆盜取您的Windows密碼
一位安全研究人員披露了微軟Outlook中一個重要漏洞的詳細信息,微軟公司發布了一個不完整的補丁程序 - 但是在18個月前就收到漏洞報告!
Microsoft Outlook漏洞(CVE-2018-0950)可能允許攻擊者竊取敏感信息(包括用戶的Windows登錄憑據),只需說服受害者使用Microsoft Outlook預覽電子郵件,而不需要任何其他用戶交互。漏洞駐留在Microsoft Outlook在預覽RTF(RTF格式)電子郵件並自動啟動SMB連接時呈現遠程託管的OLE內容的方式。
遠程攻擊者可以通過向目標受害者發送RTF電子郵件來利用此漏洞,該目標受害者包含遠程託管的映像文件(OLE對象),並由攻擊者控制的SMB伺服器載入。
由於Microsoft Outlook自動呈現OLE內容,它將使用單一登錄(SSO)通過SMB協議啟動對攻擊者的受控遠程伺服器的自動身份驗證,移交受害者的用戶名和密碼的NTLMv2哈希版本,可能允許攻擊者可以訪問受害者的系統。
這可能會泄漏用戶的IP地址,域名,用戶名,主機名和密碼散列,果用戶的密碼不夠複雜,那麼攻擊者可能會在很短的時間內破解密碼
如果你在想,為什麼你的Windows PC會自動將你的證書交給攻擊者的SMB伺服器?
這是通過伺服器消息塊(SMB)協議進行身份驗證與NTLM質詢/響應身份驗證機制結合使用的方式,如下圖所示。
雖然微軟出一個補丁,但是不完善!「即使使用這個補丁,用戶仍然只需點擊一下即可成為上述類型攻擊的受害者,」Dormann說。「例如,如果電子郵件消息具有以」\「開頭的UNC樣式鏈接,則單擊鏈接將啟動到指定伺服器的SMB連接。」
如果你已經安裝了最新版本 微軟補丁更新這很好,但是攻擊者仍然可以利用這個漏洞。因此,建議Windows用戶,特別是企業網路管理員遵循以下步驟來減輕此漏洞。
如果您還沒有,請為CVE-2018-0950應用Microsoft更新。
阻塞用於傳入和傳出SMB會話的特定埠(445 / tcp,137 / tcp,139 / tcp,以及137 / udp和139 / udp)。
阻止NT LAN Manager(NTLM)單點登錄(SSO)身份驗證。
始終使用複雜的密碼,即使他們的哈希被盜也不能輕易破解(您可以使用密碼管理器來處理此任務)。
最重要的是,不要點擊電子郵件中提供的可疑鏈接。
你可能喜歡
※針對某mysql批量提權工具的後門分析
※突發!思科底層設備漏洞遭濫用,國內多家IDC及機構網路癱瘓
TAG:黑白之道 |