Outlook: Kalendereintrag kann Passwort stehlen

Outlook: Kalendereintrag kann Passwort stehlen -KI

Beitrag teilen

Es gibt eine neue Sicherheitslücke in Outlook und drei Möglichkeiten auf NTLM v2-Hash-Passwörter zuzugreifen. Der Zugang kann durch die Kalenderfunktion und doppele Header via Kalendereintrag geschehen. Experten haben die Schwachstelle entdeckt und warnen davor.

Varonis Threat Labs entdeckte die neue Outlook-Schwachstelle (CVE-2023-35636) und drei neuen Möglichkeiten zur Ausnutzung. Damit lassen sich auf die NTLM v2-Hash-Passwörter zuzugreifen von Outlook, Windows Performance Analyzer (WPA) und Windows File Explorer. Mit Zugriff auf diese Passwörter können Angreifer einen Offline-Brute-Force-Angriff oder einen Authentifizierungs-Relay-Angriff versuchen, um ein Konto zu kompromittieren und sich Zugriff zu verschaffen.

Anzeige

Ungepatchte Systeme in Gefahr

Microsoft wurde diese Schwachstellen und vorhandene Exploits im Juli 2023 offengelegt. Seitdem hat Microsoft die Schwachstellen für WPA und den Windows-Datei-Explorer als „mittlerer Schweregrad“ und den Exploit für Outlook mit 6.5 als „wichtig“ (CVE-2023-35636) eingestuft. Microsoft hat daraufhin am 12. Dezember 2023 einen Patch für dieses CVE veröffentlicht. Ungepatchte Systeme bleiben anfällig für Bedrohungsakteure, die mit den genannten Methoden versuchen, gehashte Passwörter zu stehlen.

Was steckt hinter CVE-2023-35636?

CVE-2023-35636 ist ein Exploit der die Kalenderfreigabefunktion in Microsoft Outlook anweist, einer E-Mail Outlook zwei Header das hinzufügen. So sollen Inhalte geteilt werden um einen bestimmten Computer zu kontaktieren, was die Möglichkeit bietet, einen NTLM v2-Hash abzufangen. NTLM v2 ist ein kryptografisches Protokoll, das von Microsoft Windows zur Authentifizierung von Benutzern bei Remoteservern verwendet wird. Während NTLM v2 eine sicherere Version des ursprünglichen NTLM ist, ist v2 immer noch anfällig für Offline-Brute-Force- und Authentifizierungs-Relay-Angriffe.

Durchsickern von NTLM v2-Hashes mit Outlook

Outlook ist das Standard-E-Mail- und Kalendertool für die Microsoft 365-Suite und wird von Millionen Menschen auf der ganzen Welt sowohl für geschäftliche als auch für private Zwecke verwendet. Eine der Funktionen von Outlook ist die Möglichkeit, Kalender zwischen Benutzern zu teilen. Diese Funktion kann jedoch ausgenutzt werden, wie Varonis Threat Labs herausgefunden hat, indem einige Header in eine E-Mail eingefügt werden, um einen Authentifizierungsversuch auszulösen und das gehashte Passwort umzuleiten.

Angriffsszenario

Dieser Exploit nutzt dasselbe Angriffsszenario wie der andere Exploit für den Windows-Datei-Explorer.

  • Ein Angreifer erstellt mithilfe des oben beschriebenen Exploits einen bösartigen Link.
  • Um dem Opfer den schädlichen Link zu senden, kann ein Angriff E-Mail-Phishing oder eine gefälschte Website-Werbung nutzen oder den Link sogar direkt über soziale Medien versenden.
  • Sobald das Opfer auf den Link klickt, kann der Angreifer den Hash erhalten und dann versuchen, das Passwort des Benutzers offline zu knacken.
  • Sobald der Hash geknackt und das Passwort erlangt wurde, kann sich ein Angreifer damit als Benutzer bei der Organisation anmelden.

Mehr Schutz vor NTLM v2-Angriffen

Es gibt mehrere Möglichkeiten, sich vor NTLM v2-Angriffen zu schützen:

  • SMB-Signierung – SMB-Signierung ist eine Sicherheitsfunktion, die dazu beiträgt, den SMB-Verkehr vor Manipulationen und Man-in-the-Middle-Angriffen zu schützen. Es funktioniert durch die digitale Signatur aller SMB-Nachrichten. Das heißt, wenn ein Angreifer versucht, eine SMB-Nachricht zu ändern, kann der Empfänger die Änderung erkennen und die Nachricht ablehnen.SMB-Signatur ist in Windows Server 2022 und höher standardmäßig aktiviert und auf Windows 11 Enterprise Edition (beginnend mit der Insider-Vorschau Build 25381).
  • Blockieren Sie ausgehendes NTLM v2, beginnend mit Windows 11 (25951). Microsoft hat die Option hinzugefügt, um ausgehende NTLM-Authentifizierung zu blockieren.
  • Erzwingen Sie nach Möglichkeit die Kerberos-Authentifizierung und blockieren Sie NTLM v2 sowohl auf Netzwerk- als auch auf Anwendungsebene.
Mehr bei Varonis.com

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

PKI-Zertifikate sicher verwalten

Mit der Zunahme von Hard- und Software nimmt die Anzahl von Zertifikaten für diese Geräte zu. Ein Cybersicherheitsunternehmen hat jetzt ➡ Weiterlesen

Cloud-Sicherheitsstrategien: eBook gibt Tipps

Cloud-Computing nimmt immer weiter zu. Das ebook erklärt effektive Cloud-Sicherheitsstrategien, inklusive Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse ➡ Weiterlesen

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Patchday bei SAP

SAP hat mehrere Patches veröffentlicht, die insgesamt acht Schwachstellen betreffen. Eine davon ist als schwerwiegend eingestuft. Am schwersten wiegt eine ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen