Microsoft Outlook Elevation of Privilege:
Eine bekannte Schwachstelle

Was ist die Schwachstelle?

Am 14. März 2023 hat Microsoft eine kritische Sicherheitslücke in Microsoft Outlook veröffentlicht. Diese Schwachstelle erlaubt es Angreifern, ohne Zutun des Benutzers Passwörter in verschlüsselter Form zu stehlen, indem manipulierte Kalendereinladungen gesendet werden. Sind diese Passwörter schwach, können Angreifer sie entschlüsseln und auf sensible Daten zugreifen. Alle Versionen von Microsoft Outlook für Windows sind betroffen. Microsoft hat ein Update herausgebracht, um das Problem zu beheben. Es ist jedoch wichtig zu betonen, dass diese Sicherheitslücke auch durch gängige Best-Practice-Konfigurationen in der IT geschlossen werden konnte. Diese Maßnahmen sollten in allen betroffenen Systemen umgesetzt werden, um den Schutz weiter zu erhöhen und zukünftigen Bedrohungen entgegenzuwirken.

Inhaltsverzeichnis

Offense: Der Angriff im Detail

In einer manipulierten Kalendereinladung, die ein potentieller Angreifer per E-Mail an das Opfer schickt, ist ein Pfad zu einem individuellen Benachrichtigungston enthalten. Bei dem Pfad zu diesem Benachrichtigungston handelt es sich um einen UNC-Pfad (Universal Naming Convention). Das Ziel ist dabei ein vom Angreifer kontrollierter SMB-Server im Internet. Im Standardverhalten versucht ein Windows Client sich beim Aufrufen eines UNC-Pfades zu authentifizieren. Während dieser Authentifizierung kommt das NetNTLMv2-Hashverfahren zum Einsatz. Der Windows Client sendet den NetNTLMv2-Hash an den SMB-Server des Angreifers. Dadurch kann der Angreifer den Hash in einem Relay-Angriff nutzen oder den Hash offline cracken (um diesen Vorgang für Angreifer so schwer wie möglich zu gestalten siehe: Defense: Password-Management). Näheres dazu findest du in unserem Blog-Eintrag:

Proof of Concept (PoC)

  1. Ein neuer Termin wird erstellt, die Erinnerungszeit auf 0 Minuten gesetzt.

  2. Unter der Option “Sound…..” wird der Benachrichtigungston auf den vom Angreifer bereitgestellten UNC Pfad gesetzt

grafik-20240508-104132
Quelle: Outlook CVE-2023-23397: Was ist zu tun? - Frankys Web
  1. Der Angreifer trägt den UNC Pfad ein und setzt die Einstellung “Diesen Sound wiedergeben”
bf85ab22-ba1b-430c-98c8-e33869421dec
Quelle: Outlook CVE-2023-23397: Was ist zu tun? - Frankys Web
  1. Der Termin wird an das Opfer gesendet, die Erinnerung öffnet sich automatisch

  2. Der NetNTLMv2 Hash wird an den Angreifer übermittelt und durch diesen abgefangen

Abgefangener NetNTLMv2-Hash
Abgefangener NetNTLMv2-Hash
  1. Im Anschluss cracked der Angreifer den exfiltrierten NetNTLMv2 Hash
Passwortes innerhalb von 11 Sekunden
Knacken eines Schwachen Passwortes innerhalb von 11 Sekunden

Extern erreichbare Systeme

Besitzen Sie im Internet erreichbare Systeme, die eine Authentifizierung mittels NTLM zulassen, können über den oben beschriebenen Proof of Concept Authentifizierungen weitergeleitet werden, um sich über diesen Weg Zugriff zu verschaffen.

Prequesites

Damit der Angreifer die Schwachstelle übers Internet ausnutzen kann, sind folgende Punkte entscheidend:

  • Ausgehende Kommunikation ins Internet über TCP Port 445 erlaubt
  • Keine Conditional Access Richtlinien (insbesondere Geo-Blocking oder Logging aus Ländern, Beispielweise auf Basis der Staatenliste im Sinne von § 13 Abs. 1 Nr. 17 SÜG)
  • Fehlende Multi-Faktor-Authentifizierung

Welche Systeme oder Dienste können von dieser Schwachstelle betroffen sein?

Betroffen sind alle Microsoft Outlook Versionen für Windows.

In Outlook für Windows wird es dem User ermöglicht eine Sound-Datei für einen Outlook spezifischen Benachrichtigungston zu hinterlegen. Dies ist lediglich in der Windows Version von Outlook möglich. Outlook für macOS, Linux und iOS/Android sind nicht betroffen

Defence: Möglichkeiten, den Angriff zu verhindern

Installation der Sicherheitsupdates

Als erste Maßnahme sollte die betroffene Software gepatched werden. Microsoft hat bereits Sicherheitsupdates für die jeweiligen Outlook Versionen veröffentlicht. Diese können dem Microsoft Update Guide entnommen werden:

Microsoft Security Update Guide – CVE-2023-23397

Workarounds / Weitere Maßnahmen

Firewall Konfiguration

Die Firewall Konfiguration sollte so angepasst werden, dass SMB Verbindungen sowohl ein- als auch ausgehend eingeschränkt werden. Des Weiteren sollte die VPN Konfiguration für Remote Benutzer geprüft werden, damit die Einschränkungen auch greifen, wenn der Benutzer sich nicht im lokalen Netzwerk befindet. Durch Logging der Policies wird eine Nachvollziehbarkeit geschaffen.

Perimeter Firewall:

  • Blockieren des SMB Traffics auf TCP Port 445 vom lokalen Netzwerk ins Internet
  • Blockieren des Inbound Traffics auf TCP Port 445 (ggfs. zusätzlich TCP Port 135)
  • Prüfung der Split Tunneling VPN Einstellungen
  • Aktivieren des Loggings für erstellte Policies

Lokale Windows Firewall:

  • Blockieren des Outbound Traffics TCP Port 445 (Computer → Internet)
  • Blockieren des Inbound Traffics TCP Port 445 (Internet → Computer)

Beim Blockieren des lokalen SMB Traffics

Die Einstellungen der lokalen Windows Firewall können in der Domäne per GPO verteilt werden. Diese blockiert den Traffic auch für Benutzer, welche Remote arbeiten und sich nicht im Firmennetzwerk befinden.

Password-Management

Der Schlüssel zum Erfolg ist die Umsetzung einer komplexen Password Policy. Diese kann über die „Default Password Policy“ erfolgen oder über eine „Fine Grained Password Policy“. Weitere Infos dazu findest du in unserem Knowledge-Base Artikel . Da die Rechenleistungen in den letzten Jahren kontinuierlich gestiegen sind, ist die Erhöhung der Mindestanforderungen an Passwörter, allein auf die Länge bezogen nicht mehr sinnvoll. Hier sollte vorallem auf das Blacklisting von einfachen Passwörtern (bspw. Sommer2024!, FirmennameJahr!, NameMeinerMutter+) forciert werden um ein Passwort Cracking mitteln Wörterbuchangriff zu erschweren. Das Implementieren einer Multi-Faktor-Authentifizierung ist unter den heutigen Bedingungen der Rechenleistung unabdingbar, um zum einen den Nutzern einfachere Passwörter möglich zu machen, und zum anderen Administrative Accounts effektiver zu schützenhilft ebenfalls, dem Angreifer seine Arbeit zu erschweren.

Konfiguration von Conditional Access Richtlinien

Durch eine Anpassung der Einstellungen zu Conditional Access wie z. B. Geo-Blocking (typische Länder) z. B. in Azure oder auf einer Firewall (Perimeter, Endpoint Protection Firewall) oder einem Session Revoke könnt ihr dem Angreifer mit hoher Wahrscheinlichkeit den Zugriff entziehen. Nach der Reaktion bedarf es nun einer umfangreichen Auswertung der Logfiles, um sicherzustellen, dass der Angreifer nirgendwo Einstellungen verändert und sich somit den Zugriff anderweitig möglich gemacht hat.

Konfiguration von IDS / IPS Regeln

Es sollten Regeln in einem IDS System implementiert werden, welche eine Erkennung ermöglichen. In Verbindung mit IPS Regeln lassen sich Gegenmaßnahmen einleiten. Konkret geht es darum, das Ausleiten von internen Hashes via SMB ins Internet zu erkennen, zu blockieren und zu melden. Der NetNTLMv2 Hash wird von einem Computer im lokalen Netzwerk über Port 445 an eine externe IP-Addresse übermittelt (SMB-Server des Angreifers). Dieser Weg muss überwacht werden. Weitere Infos dazu befinden sich im Abschnitt Indicators of Compromise.

Beispielregel Snort: Snort 3.0 Rule CVE-2023-23397

				
					alert file
(
  msg:"FILE-OFFICE Microsoft Office Outlook appointment privilege escalation attempt";
  flowbits:isset,file.ole;
  file_data;
  content:"|1F 85 00 00|";
  content:"|1C 85 00 00|";
  content:"_|00|_|00|s|00|u|00|b|00|s|00|t|00|g|00|1|00|.|00|0|00|_|00|";
  content:"I|00|P|00|M|00|.|00|";
  content:"|00 00 00 00 5C 00 5C 00|";
  pcre:"/\x00\x00\x00\x00\x5c\x00\x5c\x00(\d\x00){1,3}\x2e\x00(\d\x00){1,3}\x2e\x00(\d\x00){1,3}\x2e\x00(\d\x00){1,3}/";
  metadata:policy balanced-ips drop,policy max-detect-ips drop,policy security-ips drop;
  reference:cve,2023-23397;
  reference:url,msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/;
  classtype:attempted-user;
  gid:1; sid:300464;
  rev:1;
)
				
			

Sicherheitsgruppe “Geschützte Benutzer”

Benutzer können in ActiveDirectory der Sicherheitsgruppe “geschützte Benutzer” hinzugefügt werden. Dies verhindert die Verwendung von NTLM als Authentifizierungs-Mechanismus. Dabei muss beachtet werden, dass es hierdurch zu Einschränkugen in Applikationen kommen kann, die NTLM verwenden bzw. vorraussetzen.

Detect: Angriff durch Indicators of Compromise (IoCs) erkennen

Registry-Key Modifikation

Falls ein Benutzer noch nie die Reminder Funktion genutzt hat, sind bestimmte Registry Keys nicht vorhanden. Sollten diese trotzdem vorhanden sein, kann dies ein Indicator of Compromise sein:

  • HKCU\Software\Microsoft\Office\<VERSION OF OUTLOOK>\Outlook\Tasks

  • HKCU\Software\Microsoft\Office\<VERSION OF OUTLOOK>\Outlook\Notes

Microsoft-Windows-SMBClient/Connectivity event logs

Der oben stehende Eventlog protokolliert Server Fehler und Warnungen für SMB und WebDav Verbindungen.

Die Event-IDs 0800, 30803, 30806, 30804, und 31001 auf non-trusted Server überprüft werden.

grafik-20240507-110609

WebDAV Process Creation events

Wenn SMB Traffic ins Internet blockiert wird oder anderweitig fehlschlägt, fällt Windows auf WebDAV zurück um die Verbindung aufzbauen. Das führt zu einem potentiell einzigartigen Process Creation Event, welches in Endpoint Detection & Response (EDR) Lösungen oder anderen Endpoint Logging Mechanismen (z. B. Sysmon logs) verfolgt werden kann.

 
grafik-20240507-112028

Exchange Server Logs

Auf Exchange Servern können folgende Logs auf potentielle Ausnutzung der Schwachstelle geprüft werden:

  • EWSLogs

  • IISLogs

  • PowerShellLogs

  • ServerInformation

  • ExchangeServerInformation

  • MessageTrackingLogs

  • OWALogs

Die Logs können z. B. darüber Aufschluss geben, ob es zu einem unauthorisierten Zugriff mittels Relay-Angriff kam. Genauere Informationen sind dem entsprechenden Microsoft Artikel zu entnehmen.

Known IP addresses

Folgende IP-Adressen sind laut Microsoft mit Angriffen in Verbindung gebracht worden:

  • 101.255.119[.]42

  • 213.32.252[.]221

  • 168.205.200[.]55

  • 185.132.17[.]160

  • 69.162.253[.]21

  • 113.160.234[.]229

  • 181.209.99[.]204

  • 82.196.113[.]102

  • 85.195.206[.]7

  • 61.14.68[.]33

React: Wie gehe ich mit erkannten Angreifern im Netzwerk um?

Erste Schritte der Incident Response einleiten

Sofortmaßnahmen können unserem Knowledgebase Artikel entnommen werden:

Exchange Messaging Items

Microsoft stellt ein Script bereit um Exchange Messaging Items (Mail, Kalender, Aufgaben) auf Modifikation der betroffenen Eigenschaft zu prüfen.

Falls das Script eine Modifikation erkennt, muss manuell entschieden werden, ob es sich um einen potentiell gefährlichen Wert handelt. Falls die Modifikation als schädlich eingestuft wird, kann man mittels des Scripts ein Cleanup des Messaging Items durchführen. Die genauen Schritte sind im oben verlinkten Artikel ausführlich beschrieben.

Benutzerkonten

Für jeden Benutzer, gegen den ein Angriffsversuch unternommen wurde und für jeden Benutzer der kompromittiert wurde gilt es, das Passwort zurückzusetzen und, falls nicht vorhanden, weitere Sicherheitsmechanismen (wie z. B. Multi-Faktor-Authentication) einzurichten.

Bist du betroffen?
Wir prüfen deine Systeme auf Schwachstellen und unterstützen dich beim Ausbau deiner Resilienz gegen Angriffe.
Jetzt Beratung anfordern

Referenzen /MITRE Att&ck

Hast du Fragen oder Ergänzungen? Immer her damit!
Schreibe einen Kommentar und wir antworten so bald wie möglich!

Dein E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Follow for more!
Newsletter Form (#7)

Become a Cyber Security Insider

Sichere dir frühen Zugang und exklusive Inhalte!


Bitte akzeptiere die Cookies unten auf dieser Seite, um das Formular abschicken zu können!
ANDERE BEITRÄGE

Inhaltsverzeichnis

PSN_KU_Cover
NewsLetter Form Pop Up New

Become a Cyber Security Insider

Abonniere unsere Knowledge Base und erhalte:

Frühen Zugriff auf neue Blogbeiträge
Exklusive Inhalte
Regelmäßige Updates zu Branchentrends und Best Practices


Bitte akzeptiere die Cookies unten auf dieser Seite, um das Formular abschicken zu können!