[:pb]O pesquisador de segurança Will Dormann, do CERT Coordination Center (CERT/CC), divulgou recentemente detalhes de uma vulnerabilidade no Microsoft Outlook.
A Microsoft disponibilizou uma correção junto com as atualizações de segurança do mês de abril, mas infelizmente o problema continua presente.
Vulnerabilidade no Microsoft Outlook
De acordo com o pesquisador, a vulnerabilidade no Microsoft Outlook identificada como CVE-2018-0950 pode permitir que atacantes roubem informações como as credenciais de login do Windows caso o usuário visualize uma mensagem de email no software.
Um detalhe é que não é necessário que o usuário clique em algum link dentro da mensagem. Só a visualização da mensagem já é suficiente para que as informações sejam roubadas sem o consentimento do usuário.
A vulnerabilidade reside na forma como o Outlook renderiza conteúdo OLE hospedado remotamente quando uma mensagem no formato RTF (Rich Text Format) é visualizada. O atacante pode então explorá-la para iniciar conexões baseadas no protocolo SMB (Server Message Block).
Como o Outlook renderiza conteúdo OLE automaticamente, ele iniciará o processo de autenticação automática via single sign-on (SSO) com o servidor do atacante usando o protocolo SMB, o nome do usuário da vítima e uma versão da senha com hash NTLMv2.
De posse destas informações, o atacante pode então tentar obter acesso ao computador da vítima.
Dormann informou à Microsoft sobre a vulnerabilidade meses atrás e a empresa disponibilizou uma correção incompleta na última terça-feira, dia 10.
A correções apenas impede que o Outlook inicie conexões via SMB automaticamente durante a visualização de mensagens RTF, mas o pesquisador afirma que ela não impede todos os ataques.
É recomendável que usuários e empresas instalem as atualizações mais recentes e boqueiem as portas 445/TCP, 137/ TCP, 139/TCP, 137/UDP e 139/UDP, que são usadas para sessões SMB de entrada e saída.
via Baboo[:]