fbpx
Back to Blog
Category: Haber Tags: , Post Date: 24 November 2018

Microsoft Outlook’ta bir e-postayı okumak, hassas bilgilerinizin sızmasına neden olabilir

CERT Koordinasyon Merkezi’nde (CERT / CC) bir güvenlik açığı analisti olan Will Dormann tarafından bir güvenlik açığı keşfedildi. Bu güvenlik açığı (CVE-2018-0950), herhangi bir ek kullanıcı etkileşimi gerektirmeden, siber suçluların, Microsoft Outlook’da bulunan bir e-postanın önizlemesinin yapılması yönünde kullanıcıları ikna etmesiyle, onların Windows oturum açma bilgileri de dahil olmak üzere, hassas bilgilerini ele geçirilmesine sebep olmuştur. [1]

Nasıl gerçekleşti?

Microsoft Outlook’taki bir Zengin Metin (RTF) e-postasının önizlemesi yapıldığında, uzakta barındırılan OLE içeriği, herhangi bir ek kullanıcı etkileşimi gerektirmeden alınabilir/erişilebilir. Bu durum, kullanıcının parola hash’i de dahil olmak üzere birçok gizli bilgisinin saldırgan tarafından ele geçirilmesine sebep olabilir. [2]
Microsoft Outlook Vakası
Microsoft Outlook, bir RTF e-postası önizlendiğinde otomatik olarak uzaktaki OLE içeriğini alır. Uzak OLE içeriği, bir SMB / CIFS sunucusunda barındırıldığında, Windows client sistemi tek oturum açma (single sign-on: SSO) kullanarak sunucuyla kimlik doğrulamayı dener; bu, kullanıcının IP adresini, alan adını, kullanıcı adını, ana makine adını ve şifre hash’ını sızdırıyor olabilir. Kullanıcının parolası güvenli değilse, siber suçlu kısa bir süre içinde bu parolayı kırılabilir. [2]
OLE’nin Temelleri
Microsoft’un bir teknolojisi olan ve 1990 da piyasaya sürülen OLE, bir program içerisindeki içeriğin başka bir program dökümanına gömülmesini sağlamaktadır. Örneğin, Windows 3.x’te, Microsoft Write, “Paintbrush Picture” nesnesinin yanı sıra “Sound”  ya da “Paket” nesnesini gömme yeteneği sağlar. Bu üç nesne Yazma belgesine eklenebilecek mevcut üç OLE objesidir[3]

Write document

Resim 1. Eklendikten sonra, Yazma belgesi içerisinde gömülü Paintbrush içeriğe sahiptir. (Kaynak: Dormann, 2018).

Outlook write document

Resim 2. Yazma Belgesi (Kaynak: Dormann, 2018)
Microsoft Outlook, Microsoft Office ile birlikte gelen bir e-posta istemcisidir. Outlook, OLE nesnelerini içeren zengin metin (RTF) e-posta iletilerini gönderme yeteneğine sahiptir. [3]

rich text (RTF) email messages

Resim 3. RTF (Kaynak: Dormann, 2018)

Microsoft outlook açığı

Bir siber suçlu, hedef kullanıcının yalnızca Microsoft Outlook ile bir RTF e-posta mesajını önizlemeye ikna etmesiyle kurbanın IP adresini, alan adını, kullanıcı adını, ana makine adını ve parola hash’ini elde edebilir. Ele geçirilen bu parola hash’ı çevrimdışı kırılabilir. Bu güvenlik açığı, diğer zayıflıklar ile birleştiğinde daha büyük etkilere sebep olabilir [2]

Siber saldırgan, kendi kontrol ettiği SMB [3] sunucusundan yüklenen, uzaktan barındırılan bir görüntü dosyası (OLE nesnesi) içeren  bir RTF e-postasını hedef kurbanına göndererek bu güvenlik açığından yararlanabilir. Microsoft Outlook, otomatik olarak OLE içeriğini işlediğinden, OLE içeriği tek bir oturum açma (SSO) kullanarak SMB protokolü üzerinden siber suçlunun kontrol ettiği uzak sunucusuyla otomatik bir kimlik doğrulaması başlatır. Bu durum, kurbanın kullanıcı adını ve parolanın NTLMv2 hash’lı versiyonunu siber saldırgana sızdırır ve  potansiyel olarak saldırganın hedef sisteme erişmesine sebep olur[1]

Credentials are leaked from microsoft outlook

Resim 4. IP adresi, Alan adı, Kullanıcı adı, Ana bilgisayar adı, SMB oturum anahtarının sızması (Kaynak: Dormann, 2018)
Bir SMB bağlantısı otomatik olarak anlaşır. Çünkü Outlook, kendisine gönderilen bir e-postayı önizler. Resim 4’te görüldüğü üzere, IP adresi, Alan adı, Kullanıcı adı, Ana bilgisayar adı, SMB oturum anahtarı sızdırılmıştır. “Zengin metinli e-posta mesajlarındaki uzak bir OLE nesnesi, steroidler üzerindeki bir web hatası gibi işlev görür!” [4]

Neden herhangi bir Windows PC, siber suçlunun SMB sunucusuna otomatik olarak kimlik bilgilerini sızdırır?

SMB authentication mechanism

Resim 5. SMB kimlik doğrulama mekanizması (Kaynak: thehackernews, 2018).

Sunucu İleti Bloğu (SMB) protokolü üzerinden kimlik doğrulaması, NTLM challenge / response kimlik doğrulama mekanizması ile birlikte çalışır.

Microsoft Outlook’un Davranışı

İnternet’teki HTML e-posta iletileri, zengin metin e-postasından çok daha yaygındır. Bu nedenle,  bir web sunucusundaki uzak bir resmi/görüntüsü olan bir HTML iletisini görüntülerken, önce Microsoft Outlook’un davranışına bakınız. [4]

Microsoft outlokk vulnerability Remote image is not loaded automatically

Resim 6. Uzak görüntü otomatik olarak yüklenmez (Kaynak: Dormann, 2018)

 

Uzaktaki resmin otomatik olarak yüklenmediği görülebilir. Çünkü Outlook, uzak resimlerin otomatik olarak yüklenmesine izin verirse, e-posta görüntülendiğinde, istemci sisteminin IP adresi ve diğer meta veriler  sızabilir. Bu kısıtlama, e-posta iletilerinde kullanılan web bug’larından korunmaya yardımcı olur. Ancak, uzak bir görüntü/resim dosyası yerine zengin metin formatı olarak aynı tür bir ileti olarak denendiğinde, bu bir uzak bir SMB sunucusundan yüklenen bir OLE belgesidir [4].
Misrosoft outlook vulnerability RTF text message

Resim 7. RTF metin mesajı (Kaynak: Dormann, 2018)

Outlook, web buglarının gizlilik riski nedeniyle uzak web içeriğini engeller; ancak, zengin bir metin e-postası ile OLE nesnesi, kullanıcı etkileşimi olmadan yüklenir.

Çözümler [2]

Güncelleme

 

Bu güvenlik açığı, CVE-2018-0950 için Microsoft güncellemesinde ele alınmaktadır. Bu güncelleme, Outlook’un bir RTF e-postası önizlendiğinde, SMB bağlantılarını otomatik olarak başlatmasını engeller. Unutmamak gerekir ki, bu yama yüklendikten sonra bile, ek kullanıcı etkileşimi gerektiren diğer teknikler çalışmaya devam etmektedir. Örneğin, bir e-postada attackerfoo  gibi bir UNC bağlantısı varsa, Outlook bu bağlantıyı otomatik olarak tıklanabilir hale getirecektir. Bir kullanıcı böyle bir bağlantıyı tıklarsa, söz konusu etki bu güvenlik açığınınkiyle aynı olur. Bu nedenle, aşağıdaki geçici çözümleri de dikkate alınız.

Ağ sınırınızda gelen ve giden SMB bağlantılarını engelleyin

Bu, 445/tcp, 137/tcp, 139/tcp, ile birlikte 137/udp ve 139/udp bağlantı noktalarının engellenmesiyle gerçekleştirilebilir.

NTLM Tek Oturum Açma (SSO) kimlik doğrulamasını engelle

Microsoft Güvenlik Danışması ADV170014’te belirtildiği gibi, NTLM Tek Oturum Açma (SSO) kimlik doğrulamasını engelleyin. Windows 10 ve Server 2016 ile başlayarak, EnterpriseAccountSSO kayıt defteri değeri oluşturulur ve 0 olarak ayarlanırsa, harici ve belirtilmemiş ağ kaynakları için SSO kimlik doğrulaması devre dışı bırakılır. Bu kayıt defteri değişikliğiyle, SMB kaynaklarına erişmeye hala izin verilir, ancak harici ve belirtilmemiş SMB kaynakları, kullanıcının mevcut oturum açmış olan kullanıcının hash’ını otomatik olarak kullanmaya çalışmak yerine, kimlik bilgilerini girmesini gerektirir.

Güçlü Parolalar kullanın

İstemci sisteminizin bir noktada bir saldırganın sunucusuna bir SMB bağlantısı kurmaya çalışacağını varsayalım. Bu nedenle, Windows giriş parolasının yeterince karmaşık olduğundan emin olunuz, böylece bu parola kırılmaya karşı direnecektir. Aşağıdaki iki strateji, bu hedefe ulaşmanıza yardımcı olabilir:
  • Karmaşık parolalar oluşturabilmek için parola yöneticisi kullanın. Bu strateji, kullandığınız kaynaklarda benzersiz parolaların kullanılmasına yardımcı olabilir ve parolaların güçlü ve karmaşık olmasını sağlayabilir.
  • Parolalar yerine daha uzun şifreli iletileri (karışık harfler, sayılar ve sembollerle) kullanın. Bu strateji, ek yazılım gerektirmeyen güçlü parola kombinasyonları üretmenize yardımcı olabilir.

Kaynaklar

[1] https://thehackernews.com/2018/04/outlook-smb-vulnerability.html

[3] Sunucu İleti Bloğu (SMB): Sunucu İleti Bloğu Protokolü (SMB protokolü), bir ağdaki dosyalara, yazıcılara, seri bağlantı noktalarına ve diğer kaynaklara erişimi paylaşmak için kullanılan bir istemci-sunucu iletişim protokolüdür. Bu, süreç içi iletişim için de işlem protokolleri taşıyabilir. 1980’lerde IBM tarafından yaratılan SMB protokolü, yıllar içinde gelişen ağ gereksinimlerini karşılamak için, dialektler olarak da bilinen çoklu varyantları veya uygulamaları üretti. Daha fazla bilgi için https://searchnetworking.techtarget.com/definition/Server-Message-Block-Protocol adresini ziyaret edin.

 

Share this post

Back to Blog