הגליון המאה ארבעים ותשעה של DigitalWhisper שוחרר!
ברוכים הבאים לדברי הפתיחה של הגליון ה-149 של DigitalWhisper!
וואו, כמה דברים היו החודש, רק מהימים האחרונים קשה לבחור על מה לדבר. ממש לפני ימים בודדים פורסם שהאקרים צפון קוריאנים נהלו במשך שנה שלמה מתקפת Supply Chain לאפליקציית ה-Desktop של 3CX, וקצת לפני כן פורסם ש-Apple שחררה עדכון לחולשה קריטית במספר רב של מוצריה שנעשה בה שימוש In The Wild. ה-Source של Twitter דלף לרשת, הסתבר שאפליקציה סינית מ-PlayStore של גוגל הריצה במשך תקופה 0day על מליוני מכשירים, ועוד כל כך הרבה אירועים... אך אנסה להתמקד ואבחר נושא אחד :)
קצת לפני אמצע החודש, התפרסמה חולשה ב-Outlook המאפשרת למי שהשתמש בה לגנוב את פרטי ההזדהות לתיבת האימייל מבלי הצורך לבצע אינטרקציה עם המשתמש. החולשה הייתה בשימוש ע"י יחידות ב-GRU ומסתבר שהם הפעילו אותה על מטרות אירופאיות כבר מאמצע 2022 במדינות כמו רומניה, פולין, ירדן אוקראינה וטורקיה (ולפי החבר'ה של Deep Instinct נראה, בדיעבד, שגם קבוצות תקיפה איראניות עשו בה שימוש עוד קודם לכן ב-2020).
היא זוהתה ככל הנראה כאשר הופעלה על מטרות באורקאינה ודווחה למיקרוסופט ע"י צוות ה-CERT האורקאיני (CERT-UA). החולשה לוגית והיא קיימת באיך ש-Outlook מפרסר חלק מה-Properties של מספר אובייקטים באימייל, ניתן לנצלה במספר דרכים, אחת מהן היא לשלוח לקורבן הזמנה לפגישה ב-Outlook ולהוסיף ל-Properties של ה-Reminder של הפגישה קובץ Sound שה-Outlook אמור להפעיל בעת פרסור קובץ הזימון (ספציפית, הפרמטר PidLidReminderFileParameter).
החולשה קיימת בכך שאם הנתיב של קובץ ה-Sound יצביע על נתיב UNC מרוחק, הנ"ל יגרום ל-Outlook להוציא בקשה SMB כדי להשיג את הקובץ, אך במידה ושרת ה-SMB יגיב בכך שיש צורך באותנטיקציה, הדבר יגרום לכך שה-Outlook ינסה לבצע אימות NTLM באופן כזה שניתן יהיה, בלא יותר מדי עבודה, לחלץ מה-NTLM Response המוצפן את ה-NTLM Hash של המשתמש. את ה-NTLM Hash ניתן לשבור וכך להשיג גישה לתיבת האימייל של הקורבן (במידה ונעשה שימוש בשרת Exchange שניתן לגשת אליו מחוץ לארגון), או להשתמש בו בדיוק כמו שהוא באמצעות טכניקת PassTheHash אם כבר יש דריסת רגל בארגון, או לשלב את פרטי ההזדהות שזה עתה התוקף השיג עם אחת מחולשות ה-PostAuth RCE שהתגלו בשרתי OWA לאחרונה (כמו ProxyLogon למשל) במידה והארגון לא דאג לעדכן את שרתיו...
למי שרוצה להתעמק בנושא, ממליץ לקרוא את הפוסט ב-InfoSecWriteups על המכונה ב-TryHackMe.
אין ספק שהשגת פרטי ההזדהות לכמעט כל תיבת אימייל של ארגונים שונים במידה אותה אתה כרגע תוקף עם צבא זאת נקודה המהווה יתרון משמעותי. שלא לדבר על כך שדרך תיבות האימייל הללו ניתן להשיג פרטי VPN או סיסמאות למערכות אחרות בארגון וכך להשיג נכסים שונים.
רמת הפשטות של הפעלת המתקפה היא כמעט בלתי נתפסת (אם תעקבו אחר אופן ניצול החולשה ב-Writeup תראו שניתן לממש אותה ע"י ממשק ה-Outlook בלבד, ואין צורך בלהנדס קבצים בפורמט בינארי מורכב או להתעסק בכל מני Properties לא מתועדים בקרביים של ה-Outlook). וזה מטורף שגם ב-2023, ניתן להשיג יתרון צבאי כזה משמעותי על פני מדינות יריבות בלי הצורך להשקיע עשרות שנים בפיתוח טכנולוגיית טילאות לשיוט חוץ-אטמוספרי סופר מרוכבת. החולשה הזאת לא דורשת ידע עמוק ב-Internals של שום טכנולוגיה במערכת ההפעלה, ולמעשה, ההתנהגות של ה-Outlook במקרה הזה היא אפילו מאוד סבירה.
מיקרוסופט, ב-MSRC, סיווגו את החולשה כ-"Microsoft Outlook Elevation of Privilege", אבל זאת שטות גמורה, החולשה הזאת היא הרבה מעבר לכך, ומאפשרת הרבה מעבר לכך.
אז רוצו לעדכן את מה שצריך לעדכן. ושיהיה בהצלחה לכולנו!
וכמובן, לא נשכח את כל מי שהשקיע מזמנו הפרטי, תרם את שעות השינה שלו, וישב לכתוב לנו מאמרים לגליון החודש! תודה רבה ליהונתן אלקבס, תודה רבה לאמיל לוין, תודה רבה לדר פיינשטיין ותודה רבה לבן פרינטק!
קריאה נעימה,
אפיק קסטיאל
~
החודש, הגליון כולל את המאמרים הבאים:
-
Inside LSASS - מאת יהונתן אלקבסLSASS הוא תהליך קריטי במערכת ההפעלה Windows. תהליך זה עשוי להכיל במרחב כתובות הזיכרון שלו סיסמאות Clear Text ,NTLM hashes ואף TGTs במידה ונעשה שימוש ב-Kerberos. בנוסף התהליך אחראי על אכיפת מדיניות אבטחה, ניהול אימות והרשאות משתמשים ושמירה על אבטחת מידע רגיש. עקב תפקידו המכריע באבטחת המערכת, בין אם בסביבה הלוקאלית ובין אם בסביבת הדומיין, LSASS מהווה יעד פופולארי עבור תוקפים המעוניינים לנצל נקודות תורפה בתהליך עצמו כדי לקבל גישה למשאבים נוספים. מאמר זה הינו מאמר ראשון מתוך סדרה בת שני מאמרים. בחלק זה מתמקד יהונתן במענה ההגנתי ויציג כיצד רכיביו עזרו לעצב ולאבטח את ארכיטקטורת המערכת הנוכחית של LSASS (ותהליכים נוספים). המאמר הבא יתמקד בפן ההתקפי.
-
Cisco Passwords - מאת אמיל לוין ודר פיינשטייןבמהלך בדיקות חדירות, אין זה דבר נדיר למצוא קובץ קונפיגורציה של רכיב Cisco. גיבוי של הקונפיגורציה יכול להימצא על מחשב כלשהו ברשת או על שרת שיתוף קבצים. אחת האיומים הגדולים שתוקף יוכל לממש ממציאת קובץ קונפיגורציה שכזה הוא השגת הסיסמאות המאפשרות התחברות לרכיבי הרשת בארגון. במאמר זה מציגים אמיל ודר את מנגנוני שמירת הסיסמאות שסיסקו בחרה לממש ברכיבי התקשורת שלה, בדרכים למצוא סיסמאות ובדרכים לפצח את הסיסמאות המאוחסנות באופי מקומי הרכיבים.
-
עוקבים אחרי ETW - מאת בן פרינטקעם צאת Windows 2000 אי שם בדצמבר 99. הגיע לעולם מנגנון רישום מתוחכם ומהיר המספק מעקב על כלל מערכת ההפעלה. המנגנון נועד במקור לספק יכולות דיאגנוסטיקה, בקרה ומעקב על ביצועי המחשב מה-Kernel וגם מ-User Mode כאחד אך מהר מאוד נראה מרכזי גם בתחומים שונים. במאמר זה מציג בן את המנגנון Event Tracing for Windows או בקיצור ETW. מנגנון זה אחראי על כיצד הוא עובד, על מה הוא אחראי, מה אפשר לעשות איתו לטובה, מה אפשר לעשות איתו לרעה וכל מה שבין שתי הקצוות הללו. המאמר מיועד לכולם, אך היכרות טובה ב-Windows Internals יגביר את ההנאה בקריאתו.
תגובות על 'הגליון המאה ארבעים ותשעה של DigitalWhisper שוחרר!':
#1 |
 |
יוסי (אורח): תיקון קטן לטעות נפוצה: החולשה ב outlook מאפשרת לגרום למחשב להתאמת ב NTLM. התוקף יכול להשיג רק את ה challenge response שעובר בפרוטוקול אותו ניתן לשבור עם BF כדי לחשוף את ה NT HASH ה NT HASH עצמו לא נשלח ברשת בשום שלב ולא ניתן לדרדר את הלקוח המתאמת שיחשוף אותו 01.04.2023 01:05:26 |
#2 |
|
cP (אורח): אתה צודק בהחלט, הכוונה שלי ב-"לדרדר אותו לחשוף את ה-NTLM Hash של המשתמש" הייתה זאת, מכיוון שבדרך כלל התוקף יגיב עם Challenge שחישב כבר מראש והוכן לו Rainbow Tables מתאימים (הנפוץ ביותר ב-Mimikatz / MSF או Responder יהיה 1122334455667788) מה שמאפשר לתוקף לנסות להשיג את המפתח שהצפין את ה-Challenge הזה וזה יהיה ה-NTLM Hash של המשתמש. אבל אתה צודק, זה לא מדויק. ערכתי. תודה! :) 01.04.2023 22:35:06 |
#3 |
|
דור (אורח): תודה רבה לכל העמלים! 02.04.2023 08:29:26 |
הוסף את תגובתך:
