Ошибка в дизайне Windows может привести к утечке учетных данных Microsoft и VPN-аккаунтов

Ошибка в дизайне Windows может привести к утечке учетных данных Microsoft и VPN-аккаунтов

Злоумышленник может похитит данные обманом заставив пользователей посетить вредоносный сайт или открыть вредоносное письмо.

В операционной системе Windows обнаружена проблема, которая может привести к утечке данных при использовании Internet Explorer, Edge или Outlook. Сама уязвимость далеко не нова. О ней стало известно почти 20 лет назад, но Microsoft так и не исправила ошибку.

В 2015 году проблема обсуждалась на ежегодной конференции по безопасности Black Hat, однако тогда эксперты пришли к выводу, что уязвимость не представляет особой угрозы. Тем не менее, сейчас ошибка рассматривается как довольно серьезная проблема безопасности, поскольку может привести к деанонимизации пользователей VPN и утечке учетных данных аккаунтов Microsoft. Злоумышленник может похитить данные обманом заставив пользователей посетить вредоносный сайт или открыть вредоносное письмо. Уязвимость ставит под угрозу все сервисы, связанные с учетной записью Microsoft: OneDrive, Outlook, Skype, Xbox Live, Office 365, MSN, Windows Mobile и Bing.

Проблема связана с системой единой аутентификации, которую Microsoft использует уже довольно долгое время. Единый вход работает очень просто: когда пользователь пытается получить доступ к какому-либо ресурсу с NTLM-аутентификацией, операционная система сразу передает имя домена, имя учетной записи и хеш пароля текущего пользователя. В очередной раз уязвимость единого входа в целом и в случае работы с SMB-ресурсами в частности продемонстрировал исследователь под псевдонимом ValdikSS. Эксперт описал метод, позволяющий скомпрометировать учетную запись Microsoft жертвы, а также деанонимизировать пользователей VPN.

По его словам, при открытии ссылки на SMB-ресурс в браузере Internet Explorer, Edge или любом приложении, работающем через стандартные вызовы API Windows или использующим Internet Explorer в качестве движка для отображения HTML, SMB-ресурс сразу получает данные учетной записи пользователя. Злоумышленнику достаточно добавить ссылку на изображение с SMB-сервера на сайт или отправить жертве письмо. В итоге учетные данные пользователя (логин и NTML-хэш пароля) окажутся в руках преступника. Данная атака работает на всех современных версиях Windows, включая десятую редакцию операционной системы. Как отметил исследователь, описанный им метод можно также использовать для получения данных об имени пользователя и хеше пароля VPN-подключения жертвы.