image

Microsoft: kritieke kwetsbaarheid in Outlook al sinds april 2022 misbruikt

vrijdag 24 maart 2023, 21:10 door Redactie, 7 reacties

Een kritieke kwetsbaarheid in Microsoft Outlook waardoor aanvallers de wachtwoordhash van gebruikers kunnen stelen zonder ook maar enige interactie van slachtoffers is zeker sinds april 2022 misbruikt, zo laat Microsoft weten. Het techbedrijf kwam op 14 maart van dit jaar met een beveiligingsupdate voor het zerodaylek. De aanvallen laten volgens het techbedrijf weinig sporen achter. Daarom heeft het vanavond meer informatie gegeven waarmee organisaties kunnen controleren of ze slachtoffer zijn geworden.

Het beveiligingslek, aangeduid als CVE-2023-23397, is aanwezig in alle ondersteunde versies van Microsoft Outlook voor Windows. Andere versies zijn niet kwetsbaar. De kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het gaat hier om een "Elevation of Privilege" kwetsbaarheid. Dergelijke beveiligingslekken worden meestal niet als kritiek bestempeld, maar dit is bij CVE-2023-23397 wel het geval.

Door het versturen van een malafide e-mail kan de aanvaller het slachtoffer op zijn server laten inloggen, waarbij diens Net-NTLMv2-hash wordt verstuurd. De aanvaller kan vervolgens deze hash gebruiken om zich bij andere diensten als het slachtoffer te authenticeren. De aanval vereist geen enkele interactie van het slachtoffer. Alleen het hebben gestart van Outlook is voldoende. Daarbij maakt het niet uit of het slachtoffer bijvoorbeeld het laden van remote images heeft uitgeschakeld.

Volgens Microsoft laat misbruik van CVE-2023-23397 weinig forensische sporen achter die bij traditionele "endpoint forensic analysis" zijn te vinden. Om organisaties te helpen hoe ze misbruik van het beveiligingslek in het verleden en heden is het techbedrijf met meer informatie gekomen. Verder wordt organisaties aangeraden om Outlook te updaten en uitgaand verkeer naar tcp-poort 445/SMB te blokkeren. Dit moet voorkomen dat bij misbruik van het Outlook-lek de inlogpoging van het slachtoffer naar de server van de aanvaller wordt verstuurd.

Reacties (7)
25-03-2023, 12:45 door Anoniem
Als ik het goed begrijp raadt Microsoft het gebruik van NTLM (inclusief v2) al sinds 2010 af, mede omdat er pass-the-hash-aanvallen mee mogelijk zijn. Ze blijven het ondersteunen omdat het nog gebruikt wordt, en het blijft gebruikt worden omdat het ondersteund blijft worden, en zo ontbreekt de druk om op iets beters over te stappen. En dus maken we 12, 13 jaar sinds het gebruik ervan ontraden wordt mee dat een kwetsbaarheid met op een haar na de hoogst mogelijke score voor ernst al bijna een jaar lang wordt misbruikt. Oeps.

Ik snap hoe dit is ontstaan en blijft voortmodderen, maar het is toch overduidelijk dat dit in de verste verte niet goed genoeg is en dus allang niet meer ondersteund had moeten worden?
25-03-2023, 14:38 door Rubbertje
Er is al langer gedonder met Outlook want ik kan al tijden geen inkomende berichten (afzenders) meer blokkeren. Alles wat ik blokkeer of als phishing kenmerk blijft met dezelfde noodgang terugkomen. Boven houdt de spamfilter echt geen donder meer tegen. Ik heb meer spam in mijn 'Inbox' dan in de map 'Ongewenste e-mail'. Dat duurt dus al heel lang.

Zijn er meer mensen die dit herkennen? Is er een oplossing voor?
25-03-2023, 16:41 door Anoniem
Door Rubbertje: Er is al langer gedonder met Outlook want ik kan al tijden geen inkomende berichten (afzenders) meer blokkeren. Alles wat ik blokkeer of als phishing kenmerk blijft met dezelfde noodgang terugkomen. Boven houdt de spamfilter echt geen donder meer tegen. Ik heb meer spam in mijn 'Inbox' dan in de map 'Ongewenste e-mail'. Dat duurt dus al heel lang.

Zijn er meer mensen die dit herkennen? Is er een oplossing voor?
Postfix Dovecot Spamassasin
26-03-2023, 06:48 door Anoniem
inderdaad ontzettend meer spam en phishing in mijn mail ..blokkeer het wel ..maar komt gewoon terug ..

spamfilter ? waar dan ? laat me niet lachen ...helpt echt niet !!
26-03-2023, 13:34 door Anoniem
Door Rubbertje: Er is al langer gedonder met Outlook want ik kan al tijden geen inkomende berichten (afzenders) meer blokkeren. Alles wat ik blokkeer of als phishing kenmerk blijft met dezelfde noodgang terugkomen. Boven houdt de spamfilter echt geen donder meer tegen. Ik heb meer spam in mijn 'Inbox' dan in de map 'Ongewenste e-mail'. Dat duurt dus al heel lang.

Zijn er meer mensen die dit herkennen? Is er een oplossing voor?
Heb je het over persoonlijk gebruik van outlook.com of heb je het over een organisatie die outlook gebruikt?

Als het om persoonlijk gebruik gaat zou ik eens kijken naar de e-mail die bij je internetabonnement is inbegrepen. ISP's kunnen prima spamfilters hebben.
26-03-2023, 13:52 door Anoniem
Door Anoniem: Als ik het goed begrijp raadt Microsoft het gebruik van NTLM (inclusief v2) al sinds 2010 af, mede omdat er pass-the-hash-aanvallen mee mogelijk zijn. Ze blijven het ondersteunen omdat het nog gebruikt wordt, en het blijft gebruikt worden omdat het ondersteund blijft worden, en zo ontbreekt de druk om op iets beters over te stappen. En dus maken we 12, 13 jaar sinds het gebruik ervan ontraden wordt mee dat een kwetsbaarheid met op een haar na de hoogst mogelijke score voor ernst al bijna een jaar lang wordt misbruikt. Oeps.

Ik snap hoe dit is ontstaan en blijft voortmodderen, maar het is toch overduidelijk dat dit in de verste verte niet goed genoeg is en dus allang niet meer ondersteund had moeten worden?

Het alternatief voor NTLM is Kerberos en dat is kwetsbaar voor 'Pass-the-Ticket' aanvallen. De reden dat Microsoft adviseert om NTLM uit te faseren is daarom ook niet de PtH aanval, maar is doordat het authenticatieprotocol geen server authenticatie ondersteund. Doordat het protocol standaard geen server authenticatie ondersteund, ontstaat de kwetsbaarheid van 'relay' aanvallen. Dit is een andere aanval dan Pass-the-Hash.

De reden dat bedrijven nog NTLM gebruiken is omdat kerberos meer vereisten heeft dan NTLM, zoals een line-of-sight naar de Domain Controller en het gebruiken van Fully Qualified Domain Names (FQDN's). Er zijn veel gangbare situaties waarbij dat niet het geval is: thuiswerkers, Exchange webserver vanaf internet, fileservers die op basis van IP-adres worden geopend, RDP ondersteund standaard geen kerberos, etc.

Microsoft wil voorkomen dat deze allemaal niet meer werken en zal NTLM dus ook niet gaan uitschakelen.
26-03-2023, 14:19 door karma4
Door Anoniem: ......
Ik snap hoe dit is ontstaan en blijft voortmodderen, maar het is toch overduidelijk dat dit in de verste verte niet goed genoeg is en dus allang niet meer ondersteund had moeten worden?

Het doormodderen zit bij de ivoren torens met security afdelingen in organisaties en de werkelijke kennis van de techniek.
Er is veel meer om je zorgen over te maken met rechten en privileges waarbij dogma's vanuit "architectuur" niet kloppen met de realiteit. UAC privilege escalation NTLM kerberos SSO.
- https://learn.microsoft.com/en-us/windows/win32/cimwin32prov/win32-logonsession
- https://learn.microsoft.com/en-us/openspecs/windows_protocols/MS-NTHT/f09cf6e1-529e-403b-a8a5-7368ee096a6a (ai ai)
- https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/configure-kerberos-constrained-delegation
dat laatste is wat lastiger te doorgronden, daarmee moeilijk om realiseren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.