Microsoft Outlook: Hackers russos conseguem roubar passwords apenas com um email

Foi descoberta e já corrigida pela Microsoft, uma vulnerabilidade crítica do Microsoft Outlook para Windows que permite aos hackers roubar remotamente palavras-passe apenas enviando um email para o utilizador. O seu computador está atualizado?

A Microsoft lançou ontem uma correção para a falha de segurança, mas esta falha tem sido explorada como uma vulnerabilidade zero-day em ataques de relay NTLM desde pelo menos meados de abril de 2022.

Segundo o que é reportado, esta é uma vulnerabilidade muito grave, com classificação 9,8, que afeta todas as versões do Microsoft Outlook no Windows.

Basicamente esta falha permite aos atacantes roubar credenciais via NTLM (protocolo de autenticação), simplesmente enviando ao alvo um e-mail malicioso. Atenção, não é necessária qualquer interação do utilizador, pois a exploração ocorre quando o Outlook está aberto e o lembrete é acionado no sistema.

Ataque fácil e utilizadores sem hipótese

Conforme falamos em cima, o Windows New technology LAN Manager (NTLM) é um método de autenticação utilizado para iniciar sessão nos domínios Windows usando credenciais de início de sessão em hash. Embora a autenticação NTLM venha com riscos conhecidos, ainda é utilizada em novos sistemas para compatibilidade com sistemas mais antigos.

Funciona com hashes de palavra-passe que o servidor recebe de um cliente quando tenta aceder a um recurso partilhado. Se forem roubadas, estas hashes servem para proceder à autenticação de sistemas na rede.

A Microsoft explicou que um atacante pode usar a vulnerabilidade CVE-2023-23397 para obter hashes NTLM, enviando "uma mensagem com uma propriedade MAPI alargada com um caminho UNC para uma partilha SMB (TCP 445) num servidor controlado por um elemento ameaçador".

Trocando por linguagem simples, a falha, explorada por hackers desde abril de 2022, permite que o remetente de um email possa alterar e definir o som de alerta da chegada de uma mensagem de correio ao destinatário (além do som para eventos de calendário e tarefas). Mas o novo som vem de um serviço externo, não seguro!

Esta alteração, em grosso modo, pode ser utilizado para desencadear a autenticação para um endereço IP (do atacante) que está fora da Zona de Intranet Fidedigna ou Sites Fidedignos. Desta forma, o Outlook envia os dados de acesso à conta diretamente para os hackers.

Estas hashes NTLM roubados podem então ser utilizados para realizar ataques de retransmissão NTLM para um acesso mais profundo às redes empresariais.

Para atenuar este problema, a Microsoft já disponibilizou um script que verifica se há máquinas nas empresas comprometidas por este tipo de ataque. Em termos práticos, este script verifica se os emails, eventos do calendário e das tarefas não têm o tal som que foi definido por intervenção de um servidor externo.