Een beveiligingslek dat gisteren in Microsoft Outlook werd gedicht maakte het mogelijk voor aanvallers om via de preview-optie van het e-mailprogramma wachtwoordhashes en andere privégegevens van gebruikers te stelen. Alleen het previewen van een "rich text" (RTF) e-mail was voldoende.

Er was geen verdere interactie van de gebruiker vereist. Het probleem werd veroorzaakt doordat Microsoft Outlook automatisch remote OLE-content probeert te downloaden wanneer er een RTF-mail wordt gepreviewd. Wanneer deze OLE-content wordt gehost op een SMB-/CIFS-server, zal Windows proberen om op deze server in te loggen. Hierbij kan het ip-adres, domeinnaam, gebruikersnaam, computernaam en de hash van de gebruiker zijn wachtwoord lekken.

Wanneer het wachtwoord van de gebruiker niet sterk genoeg is, kan een aanvaller de wachtwoordhash kraken, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit in deze analyse. Het lek was ook te combineren met andere kwetsbaarheden. Zoals deze kwetsbaarheid, waardoor het mogelijk was om een blue screen of death (BSOD) te veroorzaken als er een speciaal geprepareerde e-mail in Microsoft Outlook werd gepreviewd. De update van Microsoft voorkomt dat Outlook automatisch SMB-verbindingen opzet bij het previewen van een RTF-mail.

Het CERT/CC laat echter weten dat andere technieken, zoals het toevoegen van een UNC-link aan een e-mail, er nog steeds voor kan zorgen dat de eerder genoemde gegevens kunnen lekken. In dit geval is er echter interactie van de gebruiker vereist die op de link moet klikken. Om deze aanvalsvector tegen te gaan adviseert het CERT/CC om in- en uitgaande SMB-verbindingen bij de netwerkgrens te blokkeren. Daarnaast moet ook NTLM Single Sign-on (SSO) authenticatie worden geblokkeerd. Een aanpassing van het Windows Register zorgt ervoor dat SMB-locaties nog steeds bereikbaar zijn, maar gebruikers hier zelf moeten inloggen, in plaats van dat er wordt geprobeerd om de gebruiker automatisch in te loggen.