Passwort-Leak: aktueller Patch lässt Leck in Outlook offen

Office-AnwendungenSoftware

Microsoft hat zusammen mit dem Patch-Tuesday ein Leck in Outlook behoben, das seit über einem Jahr bekannt ist. Doch nicht alle Angriffsvektoren scheinen ausgeräumt zu sein.

In dem Patch-Tuesday hat Microsoft ein Outlook-Leck behoben, das der Hersteller mit “wichtig” eingestuft hat. Wenn Nutzer eine Vorschau eines Rich Text Formates (RTF) in einer Mail mit einer remote gehosteten OLE-Objekt aufrufen. OLE steht für Object Linking and Embedding.

Outlook (Grafik: Microsoft)

Der Fehler wurde von Will Dormann, einem Analysten von CERT/CC im November 2016 entdeckt und nun geschlossen. Allerdings warnt Will Dormann, dass Microsoft damit nicht alle Angriffsvektoren geschlossen hat. Der Sicherheits-Analyst rät Admins, das Update zu installieren, jedoch auch noch weitere Vorkehrungen zu treffen.

Das Leck entsteht durch die Behandlung Outlooks von RTF-Mails mit OLE-Objekten, die auf einem remote SMB (Server Message Block) gehostet werden. SMB ist ein File-Sharing-Protokoll für Netzwerke. Diese SMB-Server können das Authentifizierungsprotokoll von Microsofts NT LAN Manager (NTLM) nutzen, um eine Verbindung zwischen einem Windows-Client und einem SMB-Server herzustellen.

Dormann hatte erkannt, dass Microsoft bei SMB-Verbindungen nicht die gleichen Beschränkungen beim Laden von Inhalten vorgibt, wie wenn der Inhalt aus dem Netz geladen wird. So werden beispielsweise Bilder aus dem Netz nicht automatisch geladen, weil dadurch zum Beispiel IP-Adresse und andere Metadaten wie zum Beispiel der Zeitpunkt des Betrachtens der Mail in die Hände von Unbefugten gelangen könnten.

Ausgewähltes Whitepaper

Die Vorteile der Zentralisierung von PC- und Mac-Management an einem Ort

Mac-Computer werden immer beliebter. IT-Abteilungen stehen vor der Aufgabe, diese Geräte zu verwalten und tun sich damit oft schwer. Welche Vorteile die Zentralisierung von PC- und Mac-Management an einem Ort bietet, erklärt dieses Whitepaper.

Doch das wird beim Laden eines Objektes von einem SMB-Server nicht verhindert. In der Folge, so warnt Dormann, stellt beim Preview einer Mail der PC automatisch eine Verbindung zu einem bösartigen Server her und tauscht mit diesem die IP Adresse, den Domain-Namen, Name, Nutzernae, Host und den SMB-Session Key aus in Form eines NTLM-Hashwertes über SMB aus. Wie verwundbar ein System ist, hängt dann unter anderem davon ab, wie stark ein Passwort ist.

Einfachere Passwörter konnte Dormann innerhalb weniger Sekunden entschlüsseln. Komplexere Passwörter können in etwa einer Viertelstunde geknackt werden. Kombinationen mit Sonderzeichen, Groß- und Kleinschreibung, Zahlen und Buchstaben können bei einem Standard-System bis zu einem Jahr in Anspruch nehmen.

Laut Dormann soll aber der Patch für CVE-2018-0950 nicht alle Angriffe verhindern. So könnten Angreifer einen Universal-Naming-Convention-Link (UNC) schicken, der mit ‘\\’ beginnt. Ein Angreifer kann sein Opfer damit an einen bösartigen SMB-Server weiterleiten. Allerdings wird diese Verbindung nicht automatisch im Preview hergestellt, sondern das Opfer muss zunächst auf den Link klicken.

Daher sollten Administratoren den Microsoft-Patch installieren und auch bestimmte TCP- und UDP-Ports für SMB Sessions blockieren. Zudem sollte das NTLM Single sign-on zu externen Quellen verhindert werden. Und Nutzer sollten längere und komplexere Passwörter verwenden.

Nachdem dieser Fehler jetzt bekannt ist, steige laut Microsoft auch die Wahrscheinlichkeit, dass er ausgenutzt werde. Insgesamt hat Microsoft 63 Verwundbarkeiten geschlossen. 22 davon stuft der Anbieter als kritisch ein.

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Ausgewähltes Whitepaper

Report: Entwicklung der Cloud-Nutzung

McAfee befragte im Rahmen der jährlichen Forschungsstudie zur Cloud-Sicherheit und der Migration zur Cloud mehr als 1.400 IT-Experten. Dieser Bericht zeigt den Stand der Dinge bei Cloud-Sicherheit auf und bietet praktische Hinweise. Jetzt herunterladen!

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen