Es gibt eine neue Sicherheitslücke in Outlook und drei Möglichkeiten auf NTLM v2-Hash-Passwörter zuzugreifen. Der Zugang kann durch die Kalenderfunktion und doppele Header via Kalendereintrag geschehen. Experten haben die Schwachstelle entdeckt und warnen davor.
Varonis Threat Labs entdeckte die neue Outlook-Schwachstelle (CVE-2023-35636) und drei neuen Möglichkeiten zur Ausnutzung. Damit lassen sich auf die NTLM v2-Hash-Passwörter zuzugreifen von Outlook, Windows Performance Analyzer (WPA) und Windows File Explorer. Mit Zugriff auf diese Passwörter können Angreifer einen Offline-Brute-Force-Angriff oder einen Authentifizierungs-Relay-Angriff versuchen, um ein Konto zu kompromittieren und sich Zugriff zu verschaffen.
Ungepatchte Systeme in Gefahr
Microsoft wurde diese Schwachstellen und vorhandene Exploits im Juli 2023 offengelegt. Seitdem hat Microsoft die Schwachstellen für WPA und den Windows-Datei-Explorer als „mittlerer Schweregrad“ und den Exploit für Outlook mit 6.5 als „wichtig“ (CVE-2023-35636) eingestuft. Microsoft hat daraufhin am 12. Dezember 2023 einen Patch für dieses CVE veröffentlicht. Ungepatchte Systeme bleiben anfällig für Bedrohungsakteure, die mit den genannten Methoden versuchen, gehashte Passwörter zu stehlen.
Was steckt hinter CVE-2023-35636?
CVE-2023-35636 ist ein Exploit der die Kalenderfreigabefunktion in Microsoft Outlook anweist, einer E-Mail Outlook zwei Header das hinzufügen. So sollen Inhalte geteilt werden um einen bestimmten Computer zu kontaktieren, was die Möglichkeit bietet, einen NTLM v2-Hash abzufangen. NTLM v2 ist ein kryptografisches Protokoll, das von Microsoft Windows zur Authentifizierung von Benutzern bei Remoteservern verwendet wird. Während NTLM v2 eine sicherere Version des ursprünglichen NTLM ist, ist v2 immer noch anfällig für Offline-Brute-Force- und Authentifizierungs-Relay-Angriffe.
Durchsickern von NTLM v2-Hashes mit Outlook
Outlook ist das Standard-E-Mail- und Kalendertool für die Microsoft 365-Suite und wird von Millionen Menschen auf der ganzen Welt sowohl für geschäftliche als auch für private Zwecke verwendet. Eine der Funktionen von Outlook ist die Möglichkeit, Kalender zwischen Benutzern zu teilen. Diese Funktion kann jedoch ausgenutzt werden, wie Varonis Threat Labs herausgefunden hat, indem einige Header in eine E-Mail eingefügt werden, um einen Authentifizierungsversuch auszulösen und das gehashte Passwort umzuleiten.
Angriffsszenario
Dieser Exploit nutzt dasselbe Angriffsszenario wie der andere Exploit für den Windows-Datei-Explorer.
- Ein Angreifer erstellt mithilfe des oben beschriebenen Exploits einen bösartigen Link.
- Um dem Opfer den schädlichen Link zu senden, kann ein Angriff E-Mail-Phishing oder eine gefälschte Website-Werbung nutzen oder den Link sogar direkt über soziale Medien versenden.
- Sobald das Opfer auf den Link klickt, kann der Angreifer den Hash erhalten und dann versuchen, das Passwort des Benutzers offline zu knacken.
- Sobald der Hash geknackt und das Passwort erlangt wurde, kann sich ein Angreifer damit als Benutzer bei der Organisation anmelden.
Mehr Schutz vor NTLM v2-Angriffen
Es gibt mehrere Möglichkeiten, sich vor NTLM v2-Angriffen zu schützen:
- SMB-Signierung – SMB-Signierung ist eine Sicherheitsfunktion, die dazu beiträgt, den SMB-Verkehr vor Manipulationen und Man-in-the-Middle-Angriffen zu schützen. Es funktioniert durch die digitale Signatur aller SMB-Nachrichten. Das heißt, wenn ein Angreifer versucht, eine SMB-Nachricht zu ändern, kann der Empfänger die Änderung erkennen und die Nachricht ablehnen.SMB-Signatur ist in Windows Server 2022 und höher standardmäßig aktiviert und auf Windows 11 Enterprise Edition (beginnend mit der Insider-Vorschau Build 25381).
- Blockieren Sie ausgehendes NTLM v2, beginnend mit Windows 11 (25951). Microsoft hat die Option hinzugefügt, um ausgehende NTLM-Authentifizierung zu blockieren.
- Erzwingen Sie nach Möglichkeit die Kerberos-Authentifizierung und blockieren Sie NTLM v2 sowohl auf Netzwerk- als auch auf Anwendungsebene.
Über Varonis Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,