多くの人は、日常の仕事生活で Microsoft のOutlookに慣れています。 Windows 環境では、日常業務を整理するための電子メールやスケジュール管理の中心的なプログラムとしてよく使用されます。ただし、この実用性はサイバー犯罪者にとって潜在的に魅力的なものでもあります。
Outlook: それがあなたのパスワードが危険にさらされている理由です
Varonis のセキュリティ専門家は、新しいブログ エントリで、犯罪者が悪用できる Microsoft Outlook の脆弱性について説明しました。これにより、パスワードにアクセスできるようになる可能性があります。作成したメールの添付ファイルとして送信されたカレンダーの招待状を開くだけです。
次に、プログラムはいわゆる NTLM v2 ハッシュを送信して、パスワードを認証し、攻撃者が制御するシステムに送信します。このプロセスが本当に成功するには、悪意のある電子メールに 2 つの特別なヘッダーが含まれている必要があります。 1 つは、Outlook が共有コンテンツに関するメッセージを受信するケースです。もう 1 つは、犯罪者のシステム上にある ICS ファイル形式 (カレンダー コンテンツを交換するための iCalendar とも呼ばれます) のファイルを指します。
招待状が開かれると、Outlook は攻撃者のシステムに対して自身を認証しようとします。ソフトウェアは ICS ファイルへのアクセスを取得しようとしています。まさにこの時点で、NTLM v2 ハッシュが送信されます。
これも興味深い点です。Microsoftのアプリケーションは、単なる犯罪者への入り口ではない可能性があります。報告されているように、Outlook は個人データも何百もの企業に渡します。
NTLM v2 ハッシュでさまざまなハッキングが可能
ハッシュを入手すると、さまざまな方法で特定のパスワードを取得できます。悪意のある攻撃者は、追跡できない状態で、自分自身のシステムに対してブルート フォース攻撃を実行する可能性があります。
同時に、関連するパスワードを取得するために簡単に比較できる数十億の NTLM ハッシュを含むデータベースもあります。 3 番目のオプションとして、認証リレー攻撃も考えられます。これには、被害者の認証要求を直接傍受し、自分自身がログインできるようにすることが含まれます。この場合、特定のパスワードを知る必要さえありません。
マイクロソフトはすでに対応しています
独自の情報によると、セキュリティ専門家は、他の問題とともに 2023 年 7 月にはこの件について Microsoft に通知しました。その後、Windows メーカーは 12 月にパッチをリリースしましたが、合計 3 つの脆弱性のうち 1 つしか対処していませんでした。どうやら、他のものは特に重要であるとは考えられていません。
Outlook で自分自身と自分のパスワードを保護するために、Varonis チームは送信 NTLM 認証をブロックすることを推奨しています。 Windows 11 ではこれが可能になるはずです。 Microsoft コミュニティには、対応する手順がすでに存在します。