Araştırmacılar, Outlook Güvenlik Açığının NTLM Parolalarını Sızdırabileceğini Ortaya Çıkardı

30.01.2024

Microsoft Outlook'ta yakın zamanda düzeltilen bir güvenlik açığı, kötü niyetli aktörlerin özel olarak oluşturulmuş bir dosyayı açtıklarında NT LAN Manager (NTLM) v2 karması şifrelere erişim sağlama potansiyel bir tehdit oluşturuyordu.

CVE-2023-35636 olarak tanımlanan ve CVSS puanı 6.5 olan bu açık, Microsoft'un Aralık 2023 Yama Salı güncellemelerinde ele alındı. Geçen ay yayımlanan teknoloji devinin danışmanına göre, bir e-posta saldırı senaryosunda saldırgan, kullanıcıya özel olarak oluşturulmuş bir dosyayı göndererek ve onları bu dosyayı açmaya ikna ederek açığı sömürebilir. Web tabanlı bir saldırı senaryosunda ise saldırgan, kötü amaçlı dosyayı içeren bir web sitesi barındırabilir veya aynı amacı taşıyan bir şekilde ele geçirilmiş bir web sitesini kullanabilir.

Daha basit bir ifadeyle, saldırganın kullanıcıları bir bağlantıya tıklamaya ve ardından belirtilen dosyayı açmaya ikna etmesi gerekecektir.

CVE-2023-35636'ın kökeni, Outlook e-posta uygulamasının takvim paylaşma işlevindedir. Bir saldırgan, bir kurbanın NTLM karmasını kimlik doğrulama sırasında açığa çıkarmak için "Content-Class" ve "x-sharing-config-url" adlı iki başlık ekleyerek oluşturulan kötü niyetli bir e-posta oluşturur.

Bu hatayı keşfeden ve bildiren Varonis güvenlik araştırmacısı Dolev Taler, NTLM karma şifrelerinin Windows Performance Analyzer (WPA) ve Windows Dosya Gezgini'ni (File Explorer) sömürerek sızdırılabileceğini vurguladı. Ancak bu iki saldırı yöntemi hala düzeltilmemiştir.

Taler, durumun benzersizliğini vurgulayarak WPA'nın açık web üzerinden NTLM v2 kullanarak kimlik doğrulama yapmaya çalıştığını belirtti. Tipik olarak NTLM v2, iç IP adres tabanlı hizmetlere karşı kimlik doğrulamak için kullanılmalıdır. Ancak NTLM v2 karması açık internet üzerinden geçtiğinde, relay ve offline brute-force saldırılarına karşı savunmasız hale gelir.

Bu açıklama, Check Point'in Windows kullanıcısının NTLM belirteçlerini sızdırmak için onları yanıltarak bir sahte Microsoft Access dosyasını açmaya zorlama vakasını ortaya çıkarmasının ardından geldi.

Microsoft, NTLM'nin şifreleme yöntemlerini desteklememe ve relay saldırılarına karşı duyarlı olma nedeniyle Ekim 2023'te Windows 11'de NTLM'yi güçlendirmek için Kerberos'u tercih etmeyi planladığını daha önce açıklamıştı.