Phát hiện lỗ hổng mới trên Microsoft Outlook cho phép hacker đánh cắp mật khẩu Windows

Mới đây, một chuyên gia nghiên cứu bảo mật đã tiết lộ chi tiết về một lỗ hổng bảo mật nghiêm trọng trong Microsoft Outlook mà công ty đã phát hành một bản vá trong tháng này sau gần 18 tháng nhận được báo cáo lỗi.

Lỗ hổng bảo mật của Microsoft Outlook mang tên CVE-2018-0950) có thể cho phép kẻ tấn công đánh cắp những thông tin nhạy cảm bao gồm các thông tin đăng nhập Windows của người dùng, chỉ bằng lừa người dùng xem trước một email bằng Microsoft Outlook mà không cần bất kỳ tương tác nào thêm của người dùng.

Lỗ hổng được phát hiện bởi Will Dormann thuộc trung tâm điều phối CERT, lỗi này nằm trong cách Microsoft Outlook cho phép lưu trữ nội dung OLE từ xa khi tin nhắn email với định dạng Rich Text Format được xem trước và tự động khởi tạo các kết nối SMB.

Kẻ tấn công từ xa có thể khai thác lỗ hổng bằng cách gửi một email với định dạng Rich Text Format đến một nạn nhân mục tiêu, có chứa tệp hình ảnh lưu trữ từ xa tải từ máy chủ SMB bị tấn công.

Vì Microsoft Outlook sẽ tự đông hiển thị nội dung OLE nên nó sẽ tự động xác thực với máy chủ từ xa được kiểm soát của kẻ tấn công thông qua giao thức SMB sử dụng đăng nhập 1 lần, chuyển cho kẻ tấn công tên người dùng của nạn nhân và NTLMv2 có chứa mât khẩu, cho phép kẻ tấn công được quyền truy cập vào hệ thống của nạn nhân.

Việc này có thể làm rò rỉ địa chỉ IP, tên miền, tên người dùng. Nếu mật khẩu của người dùng không đủ độ phức tạp thì kẻ tấn công hoàn toàn có thể dễ dàng bẻ khóa mật khẩu trong một khoản thời gian ngắn.

Dormann báo cáo lỗ hổng của Microsoft vào tháng 11 năm 2016, và trong khi nỗ lực vá lỗ hổng này, công ty đã đưa ra bản sửa lỗi trong bản cập nhập thứ ba vào tháng 4 năm 2018 tức là gần 18 tháng từ ngày báo cáo lỗi.

Bản vá lỗi chỉ ngăn Outlook tự động khởi tạo ra các kết nối SMB khi nó xem trước các RTF nhưng nhà nghiên cứu bảo mật cũng lưu ý thêm bản vá này không ngăn được tất cả các cuộc tấn công SMB.

Nếu bạn đã cài đặt bản vá cập nhật mới nhất của Microsoft, điều này đã hỗ trợ cho bạn rất nhiều, nhưng kẻ tấn công vẫn có thể khai thác lỗ hổng này. Do đó người dùng Windows, đặc biệt là các quản trị viên nên làm theo các bước dưới đây để giảm nhẹ lỗ hổng này:

• Áp dụng bản cập nhật mới của Microsoft CVE-2018-0950.
• Chặn các công cụ thể (445 / tcp, 137 / tcp, 139 / tcp, cùng với 137 / udp và 139 / udp) được sử dụng cho các phiên SMB đến và đi.
• Chặn xác thực NT LAN Manager (NTLM) đăng nhập một lần (SSO).
• Luôn luôn sử dụng các mật khẩu phức tạp.
• Và quan trọng nhất là không được nhấp vào bất kỳ liên kết đáng ngờ nào được cung cấp trong email.

Xuân Dung