image

Zerodaylek in Microsoft Outlook gebruikt voor stelen van wachtwoordhashes

woensdag 15 maart 2023, 07:38 door Redactie, 13 reacties

Aanvallers hebben een kritiek zerodaylek in Microsoft Outlook gebruikt voor het stelen van wachtwoordhashes, zonder dat hier enige interactie van gebruikers voor is vereist. Alleen het versturen van een e-mail is voldoende. Het malafide bericht hoeft ook niet in het voorbeeldvenster te worden geladen, zodra de e-mail door de Outlook-client wordt verwerkt is diefstal van de Net-NTLMv2-hash mogelijk. Vervolgens kan de aanvaller deze hash gebruiken om zich bij andere diensten als het slachtoffer te authenticeren.

Het probleem, aangeduid als CVE-2023-23397, is aanwezig in alle ondersteunde versies van Microsoft Outlook voor Windows. Andere versies zijn niet kwetsbaar. Microsoft heeft gisteren beveiligingsupdates voor de kritieke kwetsbaarheid uitgebracht, die op een schaal van 1 tot en met 10 beoordeeld is met een 9.8. Het gaat hier om een "Elevation of Privilege" kwetsbaarheid. Dergelijke beveiligingslekken worden meestal niet als kritiek bestempeld, maar dit is nu wel het geval.

Door de malafide e-mail kan de aanvaller het slachtoffer bij zijn server laten inloggen, waarbij de hash wordt verstuurd, die vervolgens kan worden onderschept. Daarbij maakt het niet uit of het slachtoffer bijvoorbeeld het laden van remote images heeft uitgeschakeld. De kwetsbaarheid werd ontdekt door het Computer Emergency Response Team van Oekraïne, Microsoft Incident Response en Microsoft Threat Intelligence. Volgens Microsoft is de kwetsbaarheid door een vanuit Rusland opererende groep gebruikt. Microsoft heeft een script beschikbaar gemaakt waarmee beheerders kunnen controleren of ze via de kwetsbaarheid zijn aangevallen.

Reacties (13)
15-03-2023, 08:38 door Anoniem
De desktop versie van outlook is toch wel een van de grootste faal projecten van microsoft ooit.
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*
15-03-2023, 11:48 door Anoniem
Door Anoniem: De desktop versie van outlook is toch wel een van de grootste faal projecten van microsoft ooit.
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*
Gelukkig is er de laatste 20 jaar wat veranderd, en hebben wij, organisatie met 40000 accounts eigenlijk nooit meer wat. Wij zijn niet in het verleden blijven hangen met ervaringen.
15-03-2023, 12:50 door walmare
Aanvallers hebben een kritiek zerodaylek in Microsoft Outlook gebruikt voor het stelen van wachtwoordhashes, zonder dat hier enige interactie van gebruikers voor is vereist.
Het is al regelmatig gezegd. Microsoft producten blijken continue kritiek lek te zijn met zero days en misbruik zonder tussenkomst van gebruikers. Dat wordt door microsoft zelf bevestigt op haar maandelijkse meetmoment.
Het probleem is nog veel groter dan we denken omdat dit soort problemen altijd worden ontdekt door externen. In dit geval Google. Microsoft hangt de vuile was niet buiten omdat het iets te verbergen heeft. Daarnaast hebben ze de mensen niet meer. Dit soort bedrijven hebben hun beste tijd gehad. De jeugd wil er niet meer voor werken wegens gebrek aan transparantie en innovatie.
Dat deze failliete software nog steeds wordt gebruikt is een Gotspe.
15-03-2023, 13:22 door walmare
Door Anoniem:
Door Anoniem: De desktop versie van outlook is toch wel een van de grootste faal projecten van microsoft ooit.
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*
Gelukkig is er de laatste 20 jaar wat veranderd, en hebben wij, organisatie met 40000 accounts eigenlijk nooit meer wat. Wij zijn niet in het verleden blijven hangen met ervaringen.
Het is alleen maar erger geworden in die 20 jaar en iedereen weet dat.
Jij (Tintin and Milou) is voorbeeld van wiens brood men eet diens woord men spreekt!
15-03-2023, 15:11 door Bitje-scheef
Hier 3-5% van de gebruikers in de afgelopen 3 maanden een rotte OST. Mails die niet binnenkomen op de desktopversie maar wel verschijnen in de webversie. Uitzetten van de cache in een nieuw profiel helpt soms (exchange online versie).
15-03-2023, 15:53 door root - Bijgewerkt: 15-03-2023, 16:35
Dit probleem lijkt toch al enkele jaren te bestaan:

https://research.nccgroup.com/2018/05/11/smb-hash-hijacking-user-tracking-in-ms-outlook/

En uitleg hoe je dit doet:

https://www.ired.team/offensive-security/initial-access/netntlmv2-hash-stealing-using-outlook

Het enige verschil dat ik lees is dat de mail nu niet hoeft te worden geopend. "Alleen het versturen van een e-mail is voldoende."
15-03-2023, 17:46 door Anoniem
Door Bitje-scheef: Hier 3-5% van de gebruikers in de afgelopen 3 maanden een rotte OST. Mails die niet binnenkomen op de desktopversie maar wel verschijnen in de webversie. Uitzetten van de cache in een nieuw profiel helpt soms (exchange online versie).
Hier mensen die soms pas wel een dag later nieuwe mail zien met outlook
15-03-2023, 20:08 door Anoniem
Door Anoniem: De desktop versie van outlook is toch wel een van de grootste faal projecten van microsoft ooit.
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*

De vraag is of het aan de overkant groener is?

Ik heb in 2008 ook op IT support gezeten, klant had Outlook 2003, zij migreerde vanwege een IBM deal voor hardware ook maar direct naar IBM Lotus Notes/Domino.
Nog nooit zoveel klachten gehad over een email client (Lotus Notes is meer dan dat, maar werd alleen daarvoor gebruikt), na 2 jaar ellende en klachten kwam uiteindelijk een migratie terug naar Exchange 2010 en Outlook 2010.
Alle eindgebruikrs weer blij.

Niet dat Outlook dan technisch het beste programma is, maar voor eindgebruikers blijkbaar heel logisch en herkenbaar, waardoor dit fijner werken is.
16-03-2023, 09:15 door Anoniem
Door walmare:
Aanvallers hebben een kritiek zerodaylek in Microsoft Outlook gebruikt voor het stelen van wachtwoordhashes, zonder dat hier enige interactie van gebruikers voor is vereist.
Het is al regelmatig gezegd. Microsoft producten blijken continue kritiek lek te zijn met zero days en misbruik zonder tussenkomst van gebruikers. Dat wordt door microsoft zelf bevestigt op haar maandelijkse meetmoment.
Het probleem is nog veel groter dan we denken omdat dit soort problemen altijd worden ontdekt door externen. In dit geval Google. Microsoft hangt de vuile was niet buiten omdat het iets te verbergen heeft. Daarnaast hebben ze de mensen niet meer. Dit soort bedrijven hebben hun beste tijd gehad. De jeugd wil er niet meer voor werken wegens gebrek aan transparantie en innovatie.
Dat deze failliete software nog steeds wordt gebruikt is een Gotspe.

Bedankt weer eens voor je bijdrage waar we niks mee kunnen, waar je mee begint klopt het is al regelmatig gezegd. Je kunt er dus ook voor kiezen om het zelf niet nogmaals te doen.
16-03-2023, 09:25 door Anoniem
Door Anoniem:
Door Anoniem: De desktop versie van outlook is toch wel een van de grootste faal projecten van microsoft ooit.
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*

De vraag is of het aan de overkant groener is?

Ik heb in 2008 ook op IT support gezeten, klant had Outlook 2003, zij migreerde vanwege een IBM deal voor hardware ook maar direct naar IBM Lotus Notes/Domino.
Nog nooit zoveel klachten gehad over een email client (Lotus Notes is meer dan dat, maar werd alleen daarvoor gebruikt), na 2 jaar ellende en klachten kwam uiteindelijk een migratie terug naar Exchange 2010 en Outlook 2010.
Alle eindgebruikrs weer blij.

Niet dat Outlook dan technisch het beste programma is, maar voor eindgebruikers blijkbaar heel logisch en herkenbaar, waardoor dit fijner werken is.
Daar geloof ik helemaal niets van. Vanwege een hardware deal ga je niet van software veranderen!! Zeer ongeloofwaardig verhaal. Zelf ken ik veel problematische outlook upgrades (verschillende talen door elkaar) waar ik je niet mee zal vermoeien.
17-03-2023, 15:08 door Anoniem
Door Anoniem:
Door Anoniem: De desktop versie van outlook is toch wel een van de grootste faal projecten van microsoft ooit.
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*
Gelukkig is er de laatste 20 jaar wat veranderd, en hebben wij, organisatie met 40000 accounts eigenlijk nooit meer wat. Wij zijn niet in het verleden blijven hangen met ervaringen.

In het verleden blijven hangen zoals het gebruiken van de desktop versie van Outlook?
Precies.
17-03-2023, 21:05 door Anoniem
Microsoft moet eens stoppen zeuren en stoppen met die diversificatie van hun producten aanbod, en gewoon eens
Door Anoniem: De desktop versie van outlook is toch wel een van de grootste faal projecten van microsoft ooit.
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*

Klopt en als je teveel klaagt bij Q&A wordt je er af geknikkerd. Alleen zijn er wel weining alternatieven voor de public folders en permissies. Ik heb wel gemerkt dat ze iets wat ik daar gemeld had, gefixed hadden, daar was ik wel verbaasd over.
Meestal is het dom gedoe, als "this is by design"
Die strategie daar is ook echt dom, die public folders steeds meer inperken, als ze zo doorgaan leveren ze niets meer dan imap kan.
20-03-2023, 07:49 door Anoniem
Door Anoniem: De desktop versie van outlook is toch wel een van de grootste faal projecten van microsoft ooit.
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*

Toen?
Nu nog steeds. :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.