Varonis Threat Labs enthüllte kürzlich eine bedeutende Sicherheitslücke in Microsoft Outlook (CVE-2023-35636), die zusammen mit drei neuen Methoden zum Zugriff auf NTLM v2 gehashte Passwörter identifiziert wurde. Diese Sicherheitsanfälligkeiten betreffen neben Outlook auch den Windows Performance Analyzer (WPA) und den Windows Datei-Explorer.
Was ist CVE-2023-35636?
Die Schwachstelle CVE-2023-35636 ist ein Exploit der Kalenderfreigabefunktion in Microsoft Outlook. Durch das Hinzufügen von zwei Headern zu einer E-Mail wird Outlook dazu verleitet, Inhalte zu teilen und eine Verbindung mit einem designierten Gerät herzustellen, was die Abfangung eines NTLM v2 Hashes ermöglicht.
Was ist NTLM v2?
NTLM v2 ist ein kryptografisches Protokoll von Microsoft Windows, das zur Authentifizierung von Benutzern an entfernten Servern verwendet wird. Obwohl NTLM v2 eine sicherere Version des ursprünglichen NTLM darstellt, bleibt es anfällig für Offline-Brute-Force-Angriffe und Authentifizierungsrelais-Angriffe.
Angriffsarten mit NTLM v2-Hashes
Angreifer nutzen NTLM v2-Hashes typischerweise für zwei Arten von Angriffen: Offline-Brute-Force-Angriffe und Authentifizierungsrelais.
Offline-Brute-Force
Bei einem Offline-Brute-Force-Angriff hat der Angreifer Zugriff auf eine Kopie des NTLM v2-Hashes des Benutzerpassworts und kann alle möglichen Passwörter generieren und gegen den Hash testen, bis eine Übereinstimmung gefunden wird.
Authentifizierungsrelais
Bei einem Authentifizierungsrelais-Angriff fängt der Angreifer eine NTLM v2-Authentifizierungsanfrage ab und leitet sie an einen anderen Server weiter.
Leckage von NTLM v2-Hashes mit Outlook
Outlook ermöglicht das Teilen von Kalendern zwischen Benutzern. Diese Funktion kann jedoch ausgenutzt werden, indem ein paar Header in einer E-Mail hinzugefügt werden, um einen Authentifizierungsversuch auszulösen und das gehashte Passwort umzuleiten.
Leckage von NTLM v2-Hashes mit URI-Handlern und WPA
URI-Handler sind Teil eines Betriebssystems, das Anwendungen ermöglicht, sich selbst als Softwareprotokoll für Arten von Uniform Resource Identifiers (URIs) zu registrieren. Der Windows Performance Analyzer (WPA) ist ein umfassendes Werkzeug, das standardmäßig einen URI-Handler für „WPA://“ installiert.
Leckage von NTLM v2-Hashes mit Windows File Explorer
Explorer.exe ermöglicht es, Dateien und Ordner zu durchsuchen. Durch den URI-Handler „search-ms“ kann explorer.exe auf das Web verweisen, wodurch NTLM v2-Hashes entwendet werden können.
Microsofts Reaktion
Microsoft hat den Exploit für Outlook als „wichtig“ eingestuft und am 12. Dezember 2023 einen Patch für CVE-2023-35636 veröffentlicht. Die Schwachstellen im WPA und Windows File Explorer wurden als „moderat“ eingestuft und sind weiterhin ungepatcht.
Schutzmaßnahmen gegen NTLM v2-Angriffe
Zum Schutz gegen NTLM v2-Angriffe gibt es mehrere Methoden, darunter SMB-Signierung, die Blockierung ausgehender NTLM v2-Authentifizierungen und die bevorzugte Verwendung von Kerberos-Authentifizierung.
Für weitere Informationen und Updates zu dieser Entwicklung empfehlen wir, die neuesten Sicherheitsberichte und Patches zu überwachen.