Will Dormann, investigador de segurança da empresa CERT Coordination Center (CERT/CC), revelou ter sido descoberta uma falha de segurança no Microsoft Outlook.

Segundo reporta Will Dormann, a falha de segurança está já identificada como CVE-2018-0950 e permite que os atacantes consigam obter o acesso a credenciais de autenticação do Windows caso o utilizador aceda a uma mensagem maliciosa de e-mail através da utilização do conhecido software. De notar que, contrariamente ao que normalmente acontece, não é necessário que o utilizador clique num determinado link bastando apenas que seja feita a visualização para que seja possível aos atacantes roubarem a informação sem que o utilizador se aperceba.

O especialista de segurança destaca que a falha de segurança está presente no sistema utilizado no software e que está relacionada com a forma como o Outlook gera conteúdo OLE alojado remotamente quando a mensagem criada (no formato Rich Text Format) é visualizada.  Desta forma, o atacante pode explorar a falha para iniciar as ligações com base no protocolo Server Message Block.

Graças ao facto do Outlook gerar conteúdo OLE de forma automática, o software inicia o processo automático de autenticação (através do sistema single sign-on) com o servidor criado pelo próprio atacante recorrendo ao protocolo SMB, o nome de utilizador da vítima e uma versão da password com hash NTLMv2.
Com estas preciosas informações, o atacante tentar obter o acesso ao computador da vítima deste esquema.

De referir que Will Dormann já reportou a situação à Microsoft há alguns meses, tendo a empresa norte-americana disponibilizado uma correção (parcial) na passada terça-feira, dia 10, aquando do lançamento do habitual “Patch Tuesday”. Esta correção, parcial, apenas impede que o Outlook estabeleça ligações de forma automática com recurso ao protocolo SMB durante a visualização de mensagens RTF, sendo que Will afirma que esta solução não impede que a vitima esteja imune a ataques.

Como recomendação, sugere-se que os utilizadores e empresas instalem as atualizações mais recentes e o acesso às portas 445/TCP, 137/ TCP, 139/TCP, 137/UDP e 139/UDP sejam bloqueadas pois são precisamente estas que são utilizadas pelo SMB.

Classifique este item
(0 votos)
Ler 869 vezes

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Wintech TV

Newsletter

Receba as notícias no seu e-mail

Top