Passwort-Leak: aktueller Patch lässt Leck in Outlook offen

In dem Patch-Tuesday hat Microsoft ein Outlook-Leck behoben, das der Hersteller mit “wichtig” eingestuft hat. Wenn Nutzer eine Vorschau eines Rich Text Formates (RTF) in einer Mail mit einer remote gehosteten OLE-Objekt aufrufen. OLE steht für Object Linking and Embedding.

Der Fehler wurde von Will Dormann, einem Analysten von CERT/CC im November 2016 entdeckt und nun geschlossen. Allerdings warnt Will Dormann, dass Microsoft damit nicht alle Angriffsvektoren geschlossen hat. Der Sicherheits-Analyst rät Admins, das Update zu installieren, jedoch auch noch weitere Vorkehrungen zu treffen.

Das Leck entsteht durch die Behandlung Outlooks von RTF-Mails mit OLE-Objekten, die auf einem remote SMB (Server Message Block) gehostet werden. SMB ist ein File-Sharing-Protokoll für Netzwerke. Diese SMB-Server können das Authentifizierungsprotokoll von Microsofts NT LAN Manager (NTLM) nutzen, um eine Verbindung zwischen einem Windows-Client und einem SMB-Server herzustellen.

Dormann hatte erkannt, dass Microsoft bei SMB-Verbindungen nicht die gleichen Beschränkungen beim Laden von Inhalten vorgibt, wie wenn der Inhalt aus dem Netz geladen wird. So werden beispielsweise Bilder aus dem Netz nicht automatisch geladen, weil dadurch zum Beispiel IP-Adresse und andere Metadaten wie zum Beispiel der Zeitpunkt des Betrachtens der Mail in die Hände von Unbefugten gelangen könnten.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Doch das wird beim Laden eines Objektes von einem SMB-Server nicht verhindert. In der Folge, so warnt Dormann, stellt beim Preview einer Mail der PC automatisch eine Verbindung zu einem bösartigen Server her und tauscht mit diesem die IP Adresse, den Domain-Namen, Name, Nutzernae, Host und den SMB-Session Key aus in Form eines NTLM-Hashwertes über SMB aus. Wie verwundbar ein System ist, hängt dann unter anderem davon ab, wie stark ein Passwort ist.

Einfachere Passwörter konnte Dormann innerhalb weniger Sekunden entschlüsseln. Komplexere Passwörter können in etwa einer Viertelstunde geknackt werden. Kombinationen mit Sonderzeichen, Groß- und Kleinschreibung, Zahlen und Buchstaben können bei einem Standard-System bis zu einem Jahr in Anspruch nehmen.

Laut Dormann soll aber der Patch für CVE-2018-0950 nicht alle Angriffe verhindern. So könnten Angreifer einen Universal-Naming-Convention-Link (UNC) schicken, der mit ‘\\’ beginnt. Ein Angreifer kann sein Opfer damit an einen bösartigen SMB-Server weiterleiten. Allerdings wird diese Verbindung nicht automatisch im Preview hergestellt, sondern das Opfer muss zunächst auf den Link klicken.

Daher sollten Administratoren den Microsoft-Patch installieren und auch bestimmte TCP- und UDP-Ports für SMB Sessions blockieren. Zudem sollte das NTLM Single sign-on zu externen Quellen verhindert werden. Und Nutzer sollten längere und komplexere Passwörter verwenden.

Nachdem dieser Fehler jetzt bekannt ist, steige laut Microsoft auch die Wahrscheinlichkeit, dass er ausgenutzt werde. Insgesamt hat Microsoft 63 Verwundbarkeiten geschlossen. 22 davon stuft der Anbieter als kritisch ein.

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Bericht: Nvidia gibt Übernahme von ARM auf

Angeblich trifft der US-Chiphersteller erste Vorbereitungen für die Rücknahme seines Kaufangebots. Auslöser sind die geringen…

21 Stunden ago

Topics: Google stellt neuen Cookie-Nachfolger vor

Er löst den gescheiterten Vorschlag FLoC ab. Google verspricht mit Topics mehr Transparenz und Einflussnahme…

22 Stunden ago

Microsoft steigert Umsatz und Gewinn im zweiten Fiskalquartal

Die Cloud-Sparte ist erneut ein wichtiger Wachstumsmotor. Aber selbst das Geschäft mit Windows-OEM-Lizenzen erzielt ein…

23 Stunden ago

Aktives Scannen: den Hackern einen Schritt voraus

In der vernetzten Produktion wachsen IT und OT zusammen. Damit steigt das Sicherheitsrisiko deutlich bis…

2 Tagen ago

Covid-19-Impfkampagne: Digitale Koordination von Impfterminen

Kassenärztliche Vereinigung Schleswig-Holstein setzt auf Online-Portal mit Oracle-Technologie.

2 Tagen ago

Allianz Risk Barometer 2022: Cyberangriffe weltweites Top-Risiko für Unternehmen

Elfte Umfrage der Allianz: Cyber, Betriebsunterbrechung und Naturkatastrophen sind weltweit die drei größten Geschäftsrisiken in…

3 Tagen ago