E-Mail ist seit langem ein wichtiger Schwachpunkt für die Sicherheit; das Demokratische Nationalkomitee und die Kampagne von Hillary Clinton wurden beide von russischen Hackern durch E-Mail-bezogene Phishing-Angriffe vor den US-Wahlen 2016 unrühmlich beeinträchtigt. Da die US-Kampagne 2020 in vollem Gange ist, gibt ein gepatchtes Problem in Microsoft Outlook den Angreifern immer noch eine Chance.
Der Fehler wurde erstmals im Oktober 2017 veröffentlicht und behoben und befindet sich in einer wenig bekannten Outlook-Funktion namens Home Page (Outlook Heute), einer Registerkarte, die als Startbildschirm eines Benutzers fungieren und externe Inhalte von beispielsweise einem Firmen-Webserver oder sogar einer öffentlichen Website laden kann. In der Praxis haben viele Outlook-Benutzer keine Ahnung, dass die Startseite existiert, da sie Outlook in ihren Posteingangsordnern öffnen. Aber Hacker erkannten, dass, wenn sie die Zugangsdaten von jemandem erhalten könnten, sie einen Fehler in der Homepage ausnutzen und ihn manipulieren könnten, um bösartige Inhalte zu laden. Von dort aus konnten sie aus der Ferne Exploit-Code ausführen, um aus der Verteidigungsstruktur von Outlook auszubrechen und das Betriebssystem eines Geräts zu steuern. Der gesamte Angriff ist unauffällig, da er wie legitimer Outlook-Verkehr aussieht. Nach der Einrichtung bleibt die Hintertür auch nach dem Neustart des betroffenen Geräts erhalten.
Obwohl Microsoft die Schwachstelle ursprünglich als gering gekennzeichnet hatte und sagte, dass sie den in freier Wildbahn ausgenutzten Fehler nicht gesehen hatte, warnten die Sicherheitsfirmen schnell, dass sie Beweise für Missbrauch durch Staaten gesehen hatten, insbesondere von der Iran-gebundenen Hackergruppe APT33 und später einer anderen iranischen Gruppe, APT34. Im Juli dieses Jahres gab das US Cyber Command eine Warnung wegen der anhaltenden Ausnutzung der Schwachstelle heraus. Im Oktober sagte Microsoft, dass iranische Hacker die Office 365-E-Mail-Konten einer Präsidentschaftskampagne 2020 ins Visier genommen hätten, angeblich die Trump-Kampagne. Dieser besondere Vorfall hat wahrscheinlich nicht speziell den Home Page Bug miteinbezogen, aber er unterstreicht den Fokus auf E-Mail-Hacking. Und FireEye sagt, dass es weiterhin eine aktive Ausnutzung der Home Page-Schwachstelle durch eine Reihe verschiedener Akteure, einschließlich Nationalstaaten, erlebt hat.
“Wir sehen, dass Verteidiger es nicht wirklich verstehen – das ist eigentlich auch für Sicherheitsunternehmen ziemlich schwer zu finden”, sagt Nick Carr, Direktor für gegnerische Methoden bei FireEye. “Es ist etwas, das wir in der Wildnis ziemlich oft sehen, ohne wirksame Milderungen oder Patches für den Angriff.”
Also, zu diesem Patch. Microsoft hat 2017 einen Bugfix herausgegeben, der verständlicherweise den Eindruck erweckt hat, dass Unternehmen und Organisationen sich keine Sorgen um die Bedrohung machen müssen, wenn ihr Outlook auf dem neuesten Stand ist. Der Fix reduziert die Funktionalität der Homepage wesentlich durch Anpassungen an der sogenannten Windows-Registry, einer Datenbank mit den zugrunde liegenden Einstellungen für das Betriebssystem und anderen Anwendungen. Aber Forscher haben festgestellt, dass es einfache Möglichkeiten gibt, diese Registrierungsänderungen im Wesentlichen rückgängig zu machen oder sie zu umgehen, selbst nachdem der Patch installiert wurde.
“Es gibt einen Patch und er deaktiviert einige der Funktionen”, sagt Matthew McWhirt, Senior Manager bei FireEye Mandiant. “Meistens verbirgt es die Möglichkeit, eine URL-Einstellung für die Homepage in der Outlook-Benutzeroberfläche zu konfigurieren, kann aber wieder aktiviert werden. Und selbst mit dem Patch, auch wenn Sie keinen seiner Schutzmaßnahmen rückgängig gemacht haben, gibt es noch andere Möglichkeiten, dieses Verhalten der Startseite aufzurufen. Es gibt also einige zusätzliche Härtungsmaßnahmen, die wir den Verteidigern empfehlen.”
FireEyes Beitrag geht durch ein Beispiel für eine kürzlich erfolgte Outlook-Homepage-Ausnutzung der Firma, die in der freien Wildbahn entdeckt wurde. Es ist ein besonders gutes Beispiel für einen cleveren Weg um den Microsoft-Patch, der auch auf das Potenzial für viele Variationen hinweist – ein Hinweis darauf, dass sich Angreifer noch lange auf diesen Angriff verlassen können. Aber es stellte sich heraus, dass dieser Stichprobeneinbruch nicht von einem nationalen Staat begangen wurde. Stattdessen kam es von einer Gruppe von Hackern, die von einem Unternehmen oder einer anderen Organisation angeheuert wurden, um Schwächen in der digitalen Verteidigung zu finden.
Der “Angriff” kam von der Penetrationstestfirma TrustedSec, die einen Auftrag hatte.
“Wir verwenden Outlook Home Page-Angriffe seit mehreren Jahren in unseren Red Team“, sagt Dave Kennedy, Gründer und CEO von TrustedSec. “Unser Ziel ist es, reale Angriffe und gegnerische Fähigkeiten gegen unsere Kunden einzusetzen, und Home Page-Angriffe bleiben in fast jedem Unternehmen weitgehend unbemerkt. Wenn Sie ein Microsoft Office-Produkt haben, das Änderungen an der Office Registry vornimmt, ist es für Verteidiger sehr schwierig, diese zu übernehmen, da sie legitim aussehen.”
FireEye’s Carr weist auch darauf hin, dass sich Verteidiger nicht nur auf den Patch verlassen müssen, um das Problem zu lösen, sondern sich auch ganz allgemein auf die Überwachung und Verteidigung eines E-Mail-Dienstes wie Office 365 in der Cloud konzentrieren können. Desktop-Anwendungen wie Outlook können jedoch die Gefährdung von Cloud-Diensten durch lokale Netzwerke erhöhen.
Kennedy von TrustedSec sagt, dass er froh ist, dass FireEye weiterhin das Bewusstsein für den Outlook Home Page Bug schärft und konkrete zusätzliche Maßnahmen vorschlägt. Aber er scherzt, dass sie es vielleicht hätten tun können, ohne dabei den Platz von TrustedSec zu sprengen.
“Ich bin immer noch angetörnt, dass sie unsere Technik gefunden haben und wir unseren Code verloren haben”, sagt Kennedy und lacht. “Das ist das Spiel, und diese Art von Angriffen sind nur Beispiele dafür, was von einem Angreifer möglich ist, der Zugriff auf eine große Menge an Ressourcen hat.”