Eine neue Sicherheitslücke in Outlook, identifiziert als CVE-2023-35636 mit einer mittleren Schwere von 6,5, ermöglicht es Angreifern, NTLMv2-Hashes zu extrahieren, indem sie Schwachstellen in Outlook, dem Windows Performance Analyzer (WPA) und dem Windows-Datei-Explorer ausnutzen.
Die Schwachstelle wurde im Juli 2023 an Microsoft gemeldet und daraufhin wurden WPA und Datei-Explorer mit „moderater Schwere“ gepatcht. Im Dezember 2023 wurde diese Lücke vollständig behoben, doch ungeschützte Systeme bleiben weiterhin anfällig für Angriffe und Diebstahl gehashter Passwörter.
Angriffsszenarien:
- Ausnutzung der Kalenderfreigabe-Funktion in Outlook: Durch Hinzufügen von zwei zusätzlichen Headern kann Outlook dazu gebracht werden, Inhalte mit einer externen Maschine zu teilen und dabei NTLMv2-Hashes zu übermitteln. Dies kann für Offline-Brute-Force-Angriffe oder Authentifizierungs-Relay-Angriffe genutzt werden, bei denen ein Angreifer eine Authentifizierungsanfrage an einen Server manipuliert.
- Leckage von NTLM v2 Hashes über Outlook: Durch Ausnutzung der Kalenderfreigabefunktion können Angreifer den gehashten Passwortschutz auf ihren Server umleiten.
- Ausnutzung des URI-Handlers des Windows Performance Analyzers (WPA): WPA installiert standardmäßig einen URI-Handler für WPA://, der das Programm automatisch startet, wenn ein Benutzer auf einen WPA-bezogenen Link klickt. Dies kann für Relay- und Offline-Brute-Force-Angriffe ausgenutzt werden.
- Ausnutzung des Windows-Datei-Explorers über den URI-Handler „search-ms“: Dieser Handler aktiviert die Suchfunktion des Explorer.exe und leitet ihn auf das Web um. Hierbei wurden zwei Parameter zur Ausnutzung identifiziert: „subquery“ und „crumb“.
Diese Entdeckungen heben die Bedeutung von regelmäßigen Sicherheitsupdates hervor, um solche Angriffsvektoren zu schließen. Das vollständige Ausmaß dieser Sicherheitslücke, insbesondere im Hinblick auf Outlook, unterstreicht die Notwendigkeit für Unternehmen und Einzelpersonen, auf dem neuesten Stand der Software-Sicherheit zu bleiben.
