image

Aangevallen zeroday in Microsoft Word laat aanvaller NTLM-hashes stelen

woensdag 13 september 2023, 10:07 door Redactie, 14 reacties

Tijdens de patchdinsdag van september heeft Microsoft 59 kwetsbaarheden verholpen, waaronder een actief aangevallen zerodaylek in Word waardoor een aanvaller NTLM-hashes kan stelen. Tevens werd een tweede zeroday gepatcht die een aanvaller met toegang tot het systeem zijn rechten laat verhogen.

In maart kwam Microsoft ook al met een update voor een zeroday in Word waardoor het stelen van NTLM-hashes mogelijk is. Het nieuwste zerodaylek wordt aangeduid als CVE-2023-36761 en is te misbruiken via een malafide document. Daarbij hoeft een slachtoffer het document niet te openen, ook als het via de preview pane (voorbeeldvenster) wordt weergeven is misbruik mogelijk.

Via het malafide document kan een aanvaller het slachtoffer op zijn server laten inloggen, waarbij de hash wordt verstuurd, die vervolgens kan worden onderschept. De aanvaller kan daarna proberen de NTLM-hash te kraken of die te 'relayen' en zich zo als het slachtoffer bij andere diensten te authenticeren. Details over de aanvallen worden niet door Microsoft gegeven, behalve dat details over de kwetsbaarheid inmiddels ook openbaar zijn.

De tweede zeroday (CVE-2023-36802) waarvoor Microsoft een update uitbracht bevindt zich in de streaming proxy service van Windows en maakt het mogelijk voor een aanvaller die al toegang tot de computer heeft om SYSTEM-rechten te krijgen en het systeem zo volledig over te nemen. Deze kwetsbaarheid werd door Microsoft zelf gevonden, alsmede door onderzoekers van IBM X-Force en DBAPPSecurity WeBin Lab.

Tevens kwam Microsoft met updates voor vijf kritieke kwetsbaarheden, waarvan drie in Visual Studio, één in Internet Connection Sharing (ICS) en één in Azure Kubernetes Service. De vier beveiligingslekken in Visual Studio en ICS maken remote code execution mogelijk. Het lek in Kubernetes laat een aanvaller zijn rechten op het systeem verhogen.

Verder werd ook een kwetsbaarheid opgelost dat door de Nederlandse onderzoekers Thijs Alkemade, Khaled Nassar en Daan Keuper was gevonden. Het beveiligingslek in Windows Themes maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren als het slachtoffer een malafide Windows Themes-bestand opent. De updates zullen op de meeste systemen automatisch worden geïnstalleerd.

Reacties (14)
13-09-2023, 10:53 door Anoniem
Patch dinsdag is er weer. Het maandelijkse zeroday meetmoment van windows. Jaar in jaar uit chronisch lek. Zeg het ook even tegen de knvb als ze haar ICT opnieuw gaat inrichten.
13-09-2023, 11:03 door Anoniem
Die NTLM Relay aamval zou voorkomen kunnen worden door degelijke firewall regels (block port TCP/445 outbound). Dan gaatjes prikken waar nodig naar bekende servers. Windows heeft nog een audit optie waarbij je NTLM kan loggen en zien naar welke servers het gaat.

Feit blijft dat het geen complexe aanval is. De kans is groot dat een applicatie binnen je omgeving een soortgelijke vulnerability heeft. Een beetje pentest gaat dat wel vinden. Met bovenstaande kan men die dan alleen als interne aanvaller uitbuiten.
13-09-2023, 11:21 door Anoniem
Door Anoniem: Die NTLM Relay aamval zou voorkomen kunnen worden door degelijke firewall regels (block port TCP/445 outbound). Dan gaatjes prikken waar nodig naar bekende servers. Windows heeft nog een audit optie waarbij je NTLM kan loggen en zien naar welke servers het gaat.

Feit blijft dat het geen complexe aanval is. De kans is groot dat een applicatie binnen je omgeving een soortgelijke vulnerability heeft. Een beetje pentest gaat dat wel vinden. Met bovenstaande kan men die dan alleen als interne aanvaller uitbuiten.
De windows CVE-2023-36802 is gekwalificeerd als makkelijk en geen userinteractie nodig. Via email attachment dus adminrechten.
13-09-2023, 11:33 door Anoniem
Door Anoniem:
Feit blijft dat het geen complexe aanval is. De kans is groot dat een applicatie binnen je omgeving een soortgelijke vulnerability heeft. Een beetje pentest gaat dat wel vinden. Met bovenstaande kan men die dan alleen als interne aanvaller uitbuiten.
Nou, ik ben anders wel gewend dat applicaties die NTLM logons kunnen doen (bijvoorbeeld browsers) dit altijd alleen maar doen als de bestemming is geconfigureerd in een of andere whitelist... je zou verwachten dat Office dat ook deed, bijv alleen bij het eigen domein aanloggen.
13-09-2023, 12:18 door Anoniem
Door Anoniem: Patch dinsdag is er weer. Het maandelijkse zeroday meetmoment van windows. Jaar in jaar uit chronisch lek. Zeg het ook even tegen de knvb als ze haar ICT opnieuw gaat inrichten.
Ik zou me pas zorgen gaan maken als swerelds grootste software leverancier niet meer maandelijks met patches zou komen. Het gaat meestal fout bij de consequente uitvoering van die patches. Ik gok dat de KNVB gewoon weer achter liep.
13-09-2023, 13:24 door _R0N_
Door Anoniem: Patch dinsdag is er weer. Het maandelijkse zeroday meetmoment van windows. Jaar in jaar uit chronisch lek. Zeg het ook even tegen de knvb als ze haar ICT opnieuw gaat inrichten.

Ach alle software is lek en we zien steeds minder serieuze problemen met Windows zelf Wanneer er misbruik gemaakt wordt is het bijna altijd doordat een gebruiker iets doms doet niet omdat ze direct toegang krijgen tot de omgeving.

Deze vind ik persoonlijk erger


A reported Free Download Manager supply chain attack redirected Linux users to a malicious Debian package repository that installed information-stealing malware.

https://www.bleepingcomputer.com/news/security/free-download-manager-site-redirected-linux-users-to-malware-for-years/
13-09-2023, 13:28 door Anoniem
CVE-2023-36761 is een Word information disclosure vulnerability. De preview pane is voldoende. Zonder user interaction.
13-09-2023, 15:18 door Anoniem
Een "patch tuesday" impliceert dat ze geen fok geven dat er een ACTIEF aangevallen zeroday is. Als dit wordt gefixt de dag na patch tuesday, kan je lekker tot 30 dagen wachten. Dit is extreem onveilig.
13-09-2023, 19:28 door Anoniem
Door Anoniem: Een "patch tuesday" impliceert dat ze geen fok geven dat er een ACTIEF aangevallen zeroday is. Als dit wordt gefixt de dag na patch tuesday, kan je lekker tot 30 dagen wachten. Dit is extreem onveilig.

Als je met Windows zou werken dan zou je weten dat Microsoft bij een Zero Day ook een out-of-band update uit kan brengen Dan hoef je dus geen 30 dagen te wachten
14-09-2023, 07:59 door Anoniem
Door Anoniem: Patch dinsdag is er weer. Het maandelijkse zeroday meetmoment van windows. Jaar in jaar uit chronisch lek. Zeg het ook even tegen de knvb als ze haar ICT opnieuw gaat inrichten.

de KNVB gaat hun ICT niet opnieuw inrichten omdat jij een hekel aan windows hebt.
14-09-2023, 09:45 door Anoniem
Door _R0N_:
Door Anoniem: Patch dinsdag is er weer. Het maandelijkse zeroday meetmoment van windows. Jaar in jaar uit chronisch lek. Zeg het ook even tegen de knvb als ze haar ICT opnieuw gaat inrichten.

Ach alle software is lek en we zien steeds minder serieuze problemen met Windows zelf Wanneer er misbruik gemaakt wordt is het bijna altijd doordat een gebruiker iets doms doet niet omdat ze direct toegang krijgen tot de omgeving.

Deze vind ik persoonlijk erger


A reported Free Download Manager supply chain attack redirected Linux users to a malicious Debian package repository that installed information-stealing malware.

https://www.bleepingcomputer.com/news/security/free-download-manager-site-redirected-linux-users-to-malware-for-years/

kuch bij de Word CVE hoeft iemand als gebruiker maar een preview van een mail te krijgen en bij die Linux deb install moet je dus eerst root worden / sudo-en, en dan bewust bij een vage onbetrouwbare 3rd party repo een pakket binnen halen bewust. nee dat is helemaal precies hetzelfde allemaal. NOT !
14-09-2023, 10:32 door Anoniem
Door Anoniem:
Door Anoniem: Patch dinsdag is er weer. Het maandelijkse zeroday meetmoment van windows. Jaar in jaar uit chronisch lek. Zeg het ook even tegen de knvb als ze haar ICT opnieuw gaat inrichten.

de KNVB gaat hun ICT niet opnieuw inrichten omdat jij een hekel aan windows hebt.
Dan zijn ze dus niet meer in control maar de hackers wel, want die zullen ongetwijfeld een achterdeurtje hebben ingebouwd nu.
14-09-2023, 10:46 door Anoniem
Door _R0N_:
Door Anoniem: Patch dinsdag is er weer. Het maandelijkse zeroday meetmoment van windows. Jaar in jaar uit chronisch lek. Zeg het ook even tegen de knvb als ze haar ICT opnieuw gaat inrichten.

Ach alle software is lek en we zien steeds minder serieuze problemen met Windows zelf Wanneer er misbruik gemaakt wordt is het bijna altijd doordat een gebruiker iets doms doet niet omdat ze direct toegang krijgen tot de omgeving.

Deze vind ik persoonlijk erger


A reported Free Download Manager supply chain attack redirected Linux users to a malicious Debian package repository that installed information-stealing malware.

https://www.bleepingcomputer.com/news/security/free-download-manager-site-redirected-linux-users-to-malware-for-years/
Erger? Waar zijn de gehackte sites dan? Ik ken niemand die FDM gebruikt. Daarnaast is "LInux" geen monocultuur en wordt FDM juist voor windows aanbevolen :) https://www.freedownloadmanager.org/features.htm
Voor de rest moet je even ophouden met steeds windows gebruikers en beheerders te beschuldigen. Blijkbaar kan je niet verkroppen dat het nu weer echt aan Microsoft software ligt. Een zero day is namelijk niet te patchen omdat er geen patch voorhanden is/was!
14-09-2023, 11:44 door Anoniem
Door _R0N_:
Door Anoniem: Patch dinsdag is er weer. Het maandelijkse zeroday meetmoment van windows. Jaar in jaar uit chronisch lek. Zeg het ook even tegen de knvb als ze haar ICT opnieuw gaat inrichten.

Ach alle software is lek en we zien steeds minder serieuze problemen met Windows zelf Wanneer er misbruik gemaakt wordt is het bijna altijd doordat een gebruiker iets doms doet niet omdat ze direct toegang krijgen tot de omgeving.

Deze vind ik persoonlijk erger


A reported Free Download Manager supply chain attack redirected Linux users to a malicious Debian package repository that installed information-stealing malware.

https://www.bleepingcomputer.com/news/security/free-download-manager-site-redirected-linux-users-to-malware-for-years/
Het gaat niet over 3party Linux software ( dan zou je ook solarwinds kunnen aanhalen) maar over een zeroday in Microsoft Word! dat door oneindig veel meer gebruikers wordt gebruikt. Als CIO zou ik je uit de group halen die dit probleem moet aanpakken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.