Peneliti keamanan telah membagikan detail teknis untuk mengeksploitasi kerentanan kritis Microsoft Outlook untuk Windows (CVE-2023-23397) yang memungkinkan peretas mencuri kata sandi hash dari jarak jauh hanya dengan menerima email.
Microsoft kemarin merilis tambalan untuk kelemahan keamanan tetapi telah dieksploitasi sebagai kerentanan zero-day dalam serangan relai NTLM setidaknya sejak pertengahan April 2022.
Masalahnya adalah kerentanan eskalasi hak istimewa dengan peringkat keparahan 9,8 yang memengaruhi semua versi Microsoft Outlook di Windows.
Penyerang dapat menggunakannya untuk mencuri kredensial NTLM hanya dengan mengirim email berbahaya ke target. Tidak diperlukan interaksi pengguna karena eksploitasi terjadi saat Outlook terbuka dan pengingat dipicu pada sistem.
Eksploitasi mudah
Manajer LAN teknologi baru Windows (NTLM) adalah metode otentikasi yang digunakan untuk masuk ke domain Windows menggunakan kredensial login hash.
Meskipun autentikasi NTLM memiliki risiko yang diketahui, autentikasi ini masih digunakan pada sistem baru untuk kompatibilitas dengan sistem lama.
Ini bekerja dengan hash kata sandi yang diterima server dari klien ketika mencoba mengakses sumber daya bersama, seperti saham SMB. Jika dicuri, hash ini dapat digunakan untuk mengotentikasi jaringan.
Microsoft menjelaskan bahwa penyerang dapat menggunakan CVE-2023-23397 untuk mendapatkan hash NTLM dengan mengirimkan “pesan dengan properti MAPI yang diperluas dengan jalur UNC ke berbagi SMB (TCP 445) di server yang dikendalikan pelaku ancaman.”
“Koneksi ke server SMB jarak jauh mengirimkan pesan negosiasi NTLM pengguna, yang kemudian dapat disampaikan oleh penyerang untuk otentikasi terhadap sistem lain yang mendukung otentikasi NTLM” – Microsoft
Namun, mengeksploitasi masalah ini memerlukan lebih banyak detail teknis, yang muncul tidak lama setelah Microsoft merilis perbaikan dari para peneliti di perusahaan konsultan keamanan MDSec.
Setelah meninjau a naskah dari Microsoft yang memeriksa item perpesanan Exchange untuk tanda-tanda eksploitasi menggunakan CVE-2023-23397, anggota tim merah MDSec Dominic Chell menemukan betapa mudahnya pelaku ancaman memanfaatkan bug tersebut.
Dia menemukan bahwa skrip dapat mencari “PidLidReminderFileParameter” di dalam item email yang diterima dan hapus jika ada.
Chell menjelaskan bahwa properti ini memungkinkan pengirim menentukan nama file yang harus diputar oleh klien Outlook saat pengingat pesan dipicu.
Alasan mengapa hal ini mungkin tetap menjadi teka-teki yang peneliti tidak bisa jelaskan karena pengirim email tidak dapat mengkonfigurasi suara untuk peringatan pesan baru pada sistem penerima.
Chel dicatat bahwa jika properti menerima nama file, juga dimungkinkan untuk menambahkan jalur UNC untuk memicu otentikasi NTLM.
Peneliti juga menemukan bahwa PidLidReminderOverride properti dapat digunakan untuk membuat Microsoft Outlook mengurai jalur UNC jarak jauh yang berbahaya di properti PidLidReminderFileParameter.
Informasi ini memungkinkan peneliti untuk membuat email Outlook (.MSG) berbahaya dengan janji temu kalender yang akan memicu kerentanan dan mengirim hash NTLM target ke server arbitrer.
Hash NTLM yang dicuri ini kemudian dapat digunakan untuk melakukan serangan relai NTLM untuk akses yang lebih dalam ke jaringan perusahaan.
sumber: MDSec
Selain janji kalender, penyerang juga dapat menggunakan Microsoft Outlook Tasks, Notes, atau pesan email untuk mencuri hash.
Chell mencatat bahwa CVE-2023-23397 dapat digunakan untuk memicu autentikasi ke alamat IP yang berada di luar Zona Intranet Tepercaya atau Situs Tepercaya.
MDSec membagikan video yang menunjukkan bagaimana kerentanan kritis yang baru ditambal di Microsoft Outlook dapat dieksploitasi:
Hari nol bagi peretas Rusia
Kerentanan ditemukan dan dilaporkan ke Microsoft oleh Tim Tanggap Darurat Komputer Ukraina (CERT-UA), kemungkinan setelah melihatnya digunakan dalam serangan yang menargetkan layanannya.
Menurut Microsoft, “aktor ancaman yang berbasis di Rusia” mengeksploitasi kerentanan dalam serangan yang ditargetkan terhadap beberapa organisasi Eropa di sektor pemerintahan, transportasi, energi, dan militer.
Kelompok peretas di balik serangan itu diyakini sebagai APT28 (alias Strontium, Fancy Bear, Sednit, Sofacy), aktor ancaman yang dikaitkan dengan Direktorat Utama Staf Umum Angkatan Bersenjata Federasi Rusia (GRU).
Hingga 15 organisasi diyakini telah menjadi sasaran atau dilanggar menggunakan CVE-2023-23397, serangan terbaru terjadi Desember lalu.
Setelah mendapatkan akses, para peretas sering menggunakan kerangka kerja sumber terbuka Impacket dan PowerShell Empire untuk memperluas cengkeraman mereka dan pindah ke sistem yang lebih berharga di jaringan untuk mengumpulkan informasi.
Administrator sangat disarankan untuk memprioritaskan patching CVE-2023-23397 dan menggunakan skrip Microsoft untuk memeriksa tanda-tanda eksploitasi dengan memverifikasi apakah item pesan di Exchange dilengkapi dengan jalur UNC.
