Все о Цифровых системах - новости, статьи, обзоры, аналитика. Более 1000 компаний, товаров и услуг в каталоге.
Добавить компанию
ГлавнаяКомпанииБрендыКаталогСобытияКонтакты
En
Главная » Новости » Обнаружены новые уязвимости Outlook, использующие вложения звуковых файлов

Обнаружены новые уязвимости Outlook, использующие вложения звуковых файлов

Рубрики: «Информационная безопасность», «Кибербезопасность»
19.12.2023

Исследователь компании Akamai Technologies Бен Барни обнаружил две уязвимости в почтовых клиентах Windows Outlook, которые могут привести к удаленному выполнению кода злоумышленниками, отправляющими специальные вложения звуковых файлов.

Обе уязвимости основаны на эксплойтах, которые были обнаружены ранее и лишь частично исправлены корпорацией Microsoft в марте, августе и октябре. Барни опубликовал две записи в блоге, в которых подробно описываются эксплойты с точки зрения их работы и возможности предотвращения их воздействия.

Суть в том, что для удобства пользователей Outlook автоматически воспроизводит звуковые файлы, такие, например, как файлы формата WAV. Но теперь это еще один способ попадания вредоносного ПО на компьютер жертвы. Файлы обрабатываются, как показано на схеме ниже, с помощью диспетчера сжатия звука Windows. Обработка необходима для того, чтобы распаковать звуковые файлы, которые обычно используют ту или иную форму сжатия для уменьшения размеров. Именно этот компонент Windows стал причиной одного из эксплойтов.

Схема уязвимости Outlook

Барни утверждает, что компьютеры под управлением Windows с установленным обновлением программного обеспечения от октября 2023 года защищены от этой уязвимости. Кроме того, клиенты Outlook, использующие серверы Exchange с обновлением программного обеспечения от марта 2023 года (каталогизированного как CVE-2023-23397), также защищены от данной уязвимости.

Недавно Барни нашел способ получить контроль над компьютером с операционной системой Windows после того, как пользователь получает по электронной почте напоминание с прикрепленным звуковым уведомлением. При этом пользователю даже не нужно нажимать на вложение, так что это еще один так называемый эксплойт «нулевого клика».

Оба этих эксплойта основаны на очень специфическом программировании. Для получения контроля над компьютером жертвы злоумышленник объединяет две предыдущих уязвимости в определенном порядке. Microsoft опубликовала руководство по устранению неполадок еще в марте с предложениями о том, как избежать эксплойтов. Барни считает, что рекомендации Microsoft полезны, но недостаточны.

«Для блокировки исходящих подключений SMB к удаленным общедоступным IP-адресам организации должны использовать сегментацию микросети и либо отключить NTLM в своей среде, либо добавить пользователей в группу «Защищенные пользователи» в Active Directory», - рекомендует Барни в своем блоге.

Источник: