Zraniteľnosť MS Office a 365 umožňujúca získanie NTLM hashov

Spoločnosť Microsoft zverejnila informácie a odporúčania pre mitigáciu zraniteľnosti MS Office a MS 365 Apps, ktorú by vzdialený neautentifikovaný útočník mohol zneužiť na exfiltráciu NTLM hashov používaných v rámci autentifikácie.

Zraniteľné systémy:

  • Microsoft Office 2016
  • Microsoft Office 2019
  • Microsoft Office LTSC 2021
  • Microsoft 365 Apps

Opis zraniteľnosti:

CVE-2024-38200 (CVSS skóre 7.5)

Bližšie nešpecifikovanú zraniteľnosť by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeeciálne vytvoreného webového obsahu alebo súbora mohol zneužiť na získanie autentifikačných NTLM hashov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí kliknúť na URL odkaz alebo otvoriť špeciálne vytvorený súbor.

Pozn. zraniteľnosť odhalili bezpečnostní výskumníci zo spoločnosti PrivSec Consulting, ktorá bližšie detaily zverejnia v rámci konferencie DEFCON.

Možné škody:

  • Neoprávnený prístup k citlivým údajom

Odporúčania:

Spoločnosť Microsoft prostredníctvom funkcionality Feature Flighting nasadila protiopatrenia na všetkých verziách Microsoft Office a Microsoft 365 s platnou podporou. Po vydaní bezpečnostných záplat v rámci augustového MS Patch Tuesday odporúča bezodkladnú aktualizáciu zasiahnutých produktov, ktorá bude obsahovať finálnu verziu protiopatrení.

Zneužitie zraniteľnosti je možné mitigovať aj:

  • aktiváciou bezpečnostnej politiky pre blokovanie odchádzajúcej NTLM komunikácie na vzdialené servery, ktorú môžete nakonfigurovať podľa návodu
  • pridaním používateľov do skupiny Protected Users Security Group, ktorá zabraňuje využitiu NTML autentifikácie
  • blokovaním odchádzajúcej komunikácie TCP 445/SMB prostredníctvom sieťových alebo bezpečnostných prvkov

Zdroje:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38200

https://www.bleepingcomputer.com/news/security/microsoft-discloses-unpatched-office-flaw-that-exposes-ntlm-hashes/