Меню
Пошук

Akamai знайшла нові експлойти в Outlook через вкладені аудіофайли

19 декабрь, 2023 - 09:35

Дослідник компанії Akamai Technologies Бен Барнеа (Ben Barnea) виявив дві вразливості в клієнтах Windows Outlook, які можуть призвести до віддаленого виконання коду зловмисниками, що надсилають спеціально створені звукові вкладення.

Обидві вразливості засновані на попередніх експлоітах, які були виявлені та лише частково виправлені корпорацією Microsoft у березні, серпні та жовтні.

Outlook відтворює звукові файли, такі як .WAV, для зручності, але тепер це ще один спосіб потрапляння шкідливого програмного забезпечення на комп’ютер жертви. Файли обробляються за допомогою диспетчера стиснення звуку Windows, оскільки зазвичай звукові файли використовують певну форму стиснення, щоб зменшити їхній розмір. Саме цей компонент Windows і став об’єктом для одного з експлойтів.

Барнеа стверджує, що комп’ютери з Windows, на яких встановлено оновлення від жовтня 2023 року, захищені від цих вразливостей. Крім того, клієнти Outlook, які використовують сервери Exchange, виправлені оновленням від березня 2023 року захищені від зловживань.

Березнева вразливість Outlook вже використовувалася раніше цього місяця російським державним угрупуванням під назвою Forest Blizzard, також відомим як Strontium. Це угруповання відповідальне за низку атак, в тому числі одну з них, спрямовану проти України минулого року.

Бен Барнеа знайшов спосіб контролювати комп’ютер з Windows, коли користувачеві надсилається електронною поштою нагадування з прикріпленим спеціальним звуковим сигналом сповіщення. Користувачеві навіть не потрібно натискати на вкладення, тому це ще один так званий експлойт «нульового кліку».

Обидва ці експлойти покладаються на дуже специфічне програмування для отримання контролю над комп’ютером жертви шляхом комбінування попередніх вразливостей у певному порядку. Ще в березні Microsoft опублікувала інструкцію з усунення вразливостей з пропозиціями про те, як уникнути експлойтів.

Фахівець Akamai у своєму дописі зазначає, що вони корисні, але недостатньо ефективні. Він рекомендує «організаціям використовувати сегментацію мікромереж для блокування вихідних SMB-з’єднань з віддаленими публічними IP-адресами, а також вимкнути NTLM у своєму середовищі або додати користувачів до групи «Захищені користувачі» в Active Directory».