由于今年 XNUMX 月正好是 XNUMX 周的长度,上个月 Firefox 和 Microsoft 更新的巧合再次发生。
上个月,微软处理了 三个零日,我们指的是网络犯罪分子首先发现的安全漏洞,并在任何补丁可用之前弄清楚如何在现实生活中进行攻击。
(名字 零日, 要不就 0天,提醒我们即使是我们当中最先进和最积极主动的修补程序也恰好享受零日,在此期间我们本可以领先于骗子。)
2023 年 XNUMX 月,有两个零日修复程序,一个在 Outlook, 另一个在 Windows SmartScreen.
有趣的是,在野外发现了一个错误,尽管 Microsoft 相当平淡地报告了一个错误 检测到利用, Outlook 缺陷共同归功于 证书-UA (乌克兰计算机应急响应小组)、Microsoft 事件响应和 Microsoft 威胁情报。
你可以随心所欲地做到这一点。
展望期末
这个错误,被称为 CVE-2023-23397: Microsoft Outlook 特权提升漏洞 (EoP),是 描述 如下:
成功利用此漏洞的攻击者可以访问用户的 Net-NTLMv2 哈希值,该哈希值可用作针对另一项服务的 NTLM 中继攻击的基础,以验证用户身份。 […]
攻击者可以通过发送特制电子邮件来利用此漏洞,该电子邮件在 Outlook 客户端检索和处理时自动触发。 在预览窗格中查看电子邮件之前,这可能会导致利用。 […]
外部攻击者可以发送特制的电子邮件,这将导致从受害者到攻击者控制的外部 UNC 位置的连接。 这会将受害者的 Net-NTLMv2 散列泄露给攻击者,然后攻击者可以将其中继到另一个服务并作为受害者进行身份验证。
解释一下(据我们猜测,鉴于我们没有关于要继续进行的攻击的任何细节)。
Net-NTLMv2 身份验证,我们简称为 NTLM2,其工作原理大致如下:
- 您要连接的位置 发送超过 8 个随机字节 被称为 挑战.
- 你的电脑 生成自己的 8 个随机字节.
- 完全 计算两个挑战字符串的 HMAC-MD5 键控散列 使用现有的安全存储的密码哈希作为密钥。
- 完全 发送密钥哈希和您的 8 字节挑战.
- 另一端现在有 8 字节的挑战和你的一次性回复,所以它可以 重新计算键控哈希,并验证您的响应.
实际上,它远不止于此,因为实际上有两个键控哈希,一个混合了两个 8 字节的随机挑战数字,另一个混合了其他数据,包括您的用户名、域名和当前时间。
但基本原理是相同的。
您的实际密码或存储的密码散列(例如来自 Active Directory 的密码)都不会被传输,因此它不会在传输过程中泄露。
此外,双方每次都可以注入 8 个字节的随机性,这可以防止任何一方偷偷地重新使用旧的挑战字符串,以期得到与之前会话相同的密钥哈希。
(在时间和其他特定于登录的数据中进行包装可以增加额外的保护,防止所谓的 重播攻击,但我们将在这里忽略这些细节。)
坐在中间
可以想象,假设攻击者可以诱骗您尝试“登录”到他们的假服务器(当您阅读诱杀电子邮件时,或者更糟糕的是,当 Outlook 开始代表您处理它时,甚至在您收到看看它看起来有多假),你最终会泄露一个有效的 NTLM2 响应。
该响应旨在向另一端证明您不仅确实知道您声称的帐户密码是您的,而且(由于混合了质询数据)您不仅仅是在重复使用以前的答案.
因此,正如微软警告的那样,能够把握时机的攻击者可能能够像您一样开始向真正的服务器进行身份验证,而无需知道您的密码或其哈希值,只是为了从真实服务器获得 8 字节的起始挑战……
......然后在您被骗尝试登录他们的假服务器时将挑战传回给您。
如果您随后计算密钥哈希并将其作为您的“证明我现在知道我自己的密码”发回,骗子可能能够将正确计算的回复中继回他们试图渗透的真实服务器,因此欺骗该服务器接受他们,就好像他们是你一样。
简而言之,您一定要针对这个进行修补,因为即使攻击需要大量尝试、时间和运气,而且不太可能奏效,但我们已经知道这是一种情况 “检测到剥削”.
换句话说,攻击可以奏效,并且至少成功攻击了一个毫无戒心的受害者,他们没有做任何冒险或错误的事情。
SmartScreen 安全绕过
第二个零日是 CVE-2023-24880, 而这个差不多 介绍 本身: Windows SmartScreen 安全功能绕过漏洞.
简而言之,Windows 通常会为通过 Internet 到达的文件添加一个标记,上面写着“此文件来自外部; 谨慎对待它,不要太相信它。”
这个 where-it-come-from 标志过去被称为文件的 互联网专区 标识符,它会提醒 Windows 在随后使用该文件时应该对该文件的内容投入多少(或多少)信任。
这些天来了 区域标识 (对于它的价值,ID 为 3 表示“来自互联网”)通常用更引人注目和更令人难忘的名字来指代 网络标志或 摩托罗拉 简而言之。
从技术上讲,此区域 ID 与文件一起存储在所谓的 备用数据流或 ADS, 但如果文件存储在 NTFS 格式的 Wiindows 磁盘上,则文件只能包含 ADS 数据。 例如,如果将文件保存到 FAT 卷,或将其复制到非 NTFS 驱动器,则区域 ID 会丢失,因此此保护标签会受到一定限制。
这个错误意味着一些来自外部的文件——例如,下载或电子邮件附件——没有用正确的 MotW 标识符标记,所以他们偷偷地避开了微软的官方安全检查。
微软的 公告 没有具体说明哪些类型的文件(图像?Office 文档?PDF?所有这些?)可以通过这种方式渗透到您的网络中,但确实非常广泛地警告说 “Microsoft Office 中的受保护视图等安全功能” 可以用这个技巧绕过。
我们猜测这意味着通常会变得无害的恶意文件,例如通过抑制内置宏代码,可能会在查看或打开时意外地活跃起来。
再一次,更新会让你回到与攻击者相提并论的水平,所以 不要延迟/今天修补它.
怎么办呢?
- 尽快打补丁, 正如我们上面所说的。
- 阅读全文 SophosLabs 分析 这些错误和 70 多个其他补丁,以防你仍然不相信。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/
- :是
- $UP
- 1
- 2023
- 70
- 8
- a
- Able
- 关于
- 以上
- 绝对
- 滥用
- ACCESS
- 账号管理
- 要积极。
- 通
- 额外
- 添加
- 广告
- 驳
- 向前
- 所有类型
- 已经
- 其中包括
- 和
- 另一个
- 回答
- 保健
- AS
- At
- 攻击
- 攻击
- 认证
- 认证
- 作者
- 汽车
- 自动
- 可使用
- 背部
- 背景图像
- 基础
- BE
- 因为
- before
- 位
- 边界
- 双方
- 半身裙/裤
- 带来
- 宽广地
- 问题
- 虫子
- 内建的
- by
- 呼叫
- CAN
- 案件
- 原因
- Center
- 挑战
- 挑战
- 支票
- 要求
- 客户
- 码
- 巧合
- 颜色
- 如何
- 计算
- 一台
- 连接
- 地都
- 内容
- 控制
- 可以
- 外壳
- 电流
- 网络罪犯
- data
- 一年中的
- 无疑
- 详情
- DID
- 发现
- 屏 显:
- 文件
- 不会
- 域
- 域名
- 别
- 下载
- 显着
- 驾驶
- 配音
- ,我们将参加
- 或
- 邮箱地址
- 电子邮件
- 紧急
- 甚至
- EVER
- 所有的
- 究竟
- 例子
- 现有
- 说明
- 利用
- 开发
- 剥削
- 外部
- 额外
- 公平
- 假
- 脂肪
- 专栏
- 特征
- 二月
- 想通
- 文件
- 档
- 火狐
- 姓氏:
- 缺陷
- 如下
- 针对
- 发现
- 止
- ,
- 得到
- 特定
- 一瞥
- Go
- 发生
- 哈希
- 有
- 有
- 高度
- 相关信息
- 孔
- 抱有希望
- 徘徊
- 创新中心
- How To
- HTTPS
- i
- ID
- 识别码
- 图片
- in
- 事件
- 事件响应
- 包含
- 房源搜索
- 网络
- IT
- 它的
- 本身
- 键
- 小子
- 知道
- 会心
- 已知
- 标签
- 名:
- 铅
- 泄漏
- 长度
- 生活
- 喜欢
- 容易
- 有限
- 小
- 圖書分館的位置
- 看
- 运气
- 宏
- 制成
- 使
- 三月
- 余量
- 最大宽度
- 手段
- 微软
- 可能
- 杂
- 搅和
- 时刻
- 月
- 更多
- 最先进的
- 摩托罗拉
- 姓名
- 网络
- 正常
- 数字
- of
- 办公
- 官方
- 老
- on
- 一
- 打开
- 其他名称
- Outlook
- 学校以外
- 己
- 面包
- 党
- 密码
- 打补丁
- 补丁星期二
- 补丁
- 保罗
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 位置
- 帖子
- 精确的
- 恰恰
- 漂亮
- 预览
- 以前
- 原理
- 主动
- 处理
- 处理
- 进步
- 保护
- 保护
- 保护
- 证明
- 放
- 随机
- 随机性
- 宁
- 阅读
- 真实
- 简称
- 一个回复
- 报道
- 需要
- 响应
- 冒险的
- περίπου
- 说
- 同
- 保存
- 说
- 其次
- 保安
- 发送
- 服务
- 会议
- 短
- 应该
- 双方
- 单
- So
- 固体
- 一些
- 有些
- 特别
- 弹簧
- 开始
- 开始
- 启动
- 仍
- 存储
- 后来
- 顺利
- 这样
- SVG的
- 团队
- 这
- 其
- 他们
- 博曼
- 事
- 今年
- 威胁
- 次
- 至
- 也有
- 最佳
- 过境
- 过渡
- 透明
- 治疗
- 信任
- 周二
- 类型
- 乌克兰语
- 相关
- 更新
- 最新动态
- 网址
- us
- 用户
- 平时
- 确认
- 通过
- 受害者
- 查看
- 体积
- 漏洞
- 警告
- 方法..
- 什么是
- 这
- WHO
- 宽度
- Wild!!!
- 将
- 窗户
- 也完全不需要
- 话
- 工作
- 合作
- 价值
- 将
- 错误
- 年
- 完全
- 您一站式解决方案
- 和风网
- 零