Архив

Дыра в защите Outlook Express позволяет злоумышленникам читать чужие письма

Найдена новая уязвимость в защите популярной программы Outlook Express (входит в стандартный дистрибутив Microsoft Windows 95/98/ME/2000), которая позволяет злоумышленнику перехватывать почтовые сообщения, посланные пользователем, использующим этот почтовый агент.

Используя эту дыру, злоумышленник может мошенническим путем записать в адресную книгу Outlook Express на компьютере жертвы свой e-mail и впоследствии похищать все сообщения, отсылаемые пользователем по истинным адресам.

Подобное возможно благодаря следующей фитче Outlook Express, активной по умолчанию: e-mail адрес добавляется в адресную книгу автоматически, когда пользователь отвечает (Reply) на сообщение.
Создавая сообщение с тщательно продуманным заголовком и искусно сфальсифицированным обратным адресом, злоумышленник может использовать данную функцию Outlook Express, чтобы добавить свой адрес в адресную книгу жертвы.

Злоумышленник формирует в сообщении поля «From» и «Reply To», указывая в них, вместо имени, адрес человека, которому жертва доверяет, но при этом определяет обратный адрес, как собственный. Стоит пользователю, введенному в заблуждение, ответить на это письмо, как в адресную книгу жертвы будет добавлен новый адрес: с именем — адресом друга и соответствующим этому имени адресом, принадлежащим злоумышленнику.

Впоследствии, при отправлении жертвой писем этому другу (в случае использования напрямую электронного адреса друга, а не его имени из адресной книги), Outlook Express будет перенаправлять все сообщения на адрес злоумышленника.

Ошибка в программе была обнаружена в декабре 2000 года российской некоммерческой организацией из Нижнего Новгорода под названием Security.NNOV, которая сообщила о своей находке Microsoft в конце марта 2001.

Сотрудник компании Security.NNOV под ником «3APA3A» сказал в своем e-mail интервью Newsbytes, что он не стал бы присваивать этому недостатку высокую степень риска: «Эта уязвимость находится в ПО, предназначенном для домашнего пользователя, поэтому потребуются некоторые приемы социального инжиниринга, использование которых позволит получить доступ к электронной почте.»

Представитель Microsoft, Jim Desler в свою очередь сказал, что компания рассматривает данный случай, не как уязвимость в защите продукта, а как социально-техническую проблему. «Мы согласны, что описанный сценарий возможен, но все же эксплуатация этой проблемы была бы чрезвычайно трудна», — сказал Desler. Он также добавил, что тем не менее Microsoft вскоре выпустит соответствующую «заплатку», устраняющую этот «социально-технический вопрос», правда не уточнив, когда это произойдет.

Пока же пользователь должен защитить себя сам, отключив в Outlook Express в меню Options возможность автоматической записи в адресную книгу новых e-mail-ов.

Следует добавить, что, по словам «3APA3Ы» из Security.NNOV, описанной проблемы не существует в Microsoft Outlook 98 и Outlook 2000.

Дыра в защите Outlook Express позволяет злоумышленникам читать чужие письма

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике