Passwort-Leak: aktueller Patch lässt Leck in Outlook offen

In dem Patch-Tuesday hat Microsoft ein Outlook-Leck behoben, das der Hersteller mit “wichtig” eingestuft hat. Wenn Nutzer eine Vorschau eines Rich Text Formates (RTF) in einer Mail mit einer remote gehosteten OLE-Objekt aufrufen. OLE steht für Object Linking and Embedding.

Der Fehler wurde von Will Dormann, einem Analysten von CERT/CC im November 2016 entdeckt und nun geschlossen. Allerdings warnt Will Dormann, dass Microsoft damit nicht alle Angriffsvektoren geschlossen hat. Der Sicherheits-Analyst rät Admins, das Update zu installieren, jedoch auch noch weitere Vorkehrungen zu treffen.

Das Leck entsteht durch die Behandlung Outlooks von RTF-Mails mit OLE-Objekten, die auf einem remote SMB (Server Message Block) gehostet werden. SMB ist ein File-Sharing-Protokoll für Netzwerke. Diese SMB-Server können das Authentifizierungsprotokoll von Microsofts NT LAN Manager (NTLM) nutzen, um eine Verbindung zwischen einem Windows-Client und einem SMB-Server herzustellen.

Dormann hatte erkannt, dass Microsoft bei SMB-Verbindungen nicht die gleichen Beschränkungen beim Laden von Inhalten vorgibt, wie wenn der Inhalt aus dem Netz geladen wird. So werden beispielsweise Bilder aus dem Netz nicht automatisch geladen, weil dadurch zum Beispiel IP-Adresse und andere Metadaten wie zum Beispiel der Zeitpunkt des Betrachtens der Mail in die Hände von Unbefugten gelangen könnten.

Doch das wird beim Laden eines Objektes von einem SMB-Server nicht verhindert. In der Folge, so warnt Dormann, stellt beim Preview einer Mail der PC automatisch eine Verbindung zu einem bösartigen Server her und tauscht mit diesem die IP Adresse, den Domain-Namen, Name, Nutzernae, Host und den SMB-Session Key aus in Form eines NTLM-Hashwertes über SMB aus. Wie verwundbar ein System ist, hängt dann unter anderem davon ab, wie stark ein Passwort ist.

Einfachere Passwörter konnte Dormann innerhalb weniger Sekunden entschlüsseln. Komplexere Passwörter können in etwa einer Viertelstunde geknackt werden. Kombinationen mit Sonderzeichen, Groß- und Kleinschreibung, Zahlen und Buchstaben können bei einem Standard-System bis zu einem Jahr in Anspruch nehmen.

Laut Dormann soll aber der Patch für CVE-2018-0950 nicht alle Angriffe verhindern. So könnten Angreifer einen Universal-Naming-Convention-Link (UNC) schicken, der mit ‘\\’ beginnt. Ein Angreifer kann sein Opfer damit an einen bösartigen SMB-Server weiterleiten. Allerdings wird diese Verbindung nicht automatisch im Preview hergestellt, sondern das Opfer muss zunächst auf den Link klicken.

Daher sollten Administratoren den Microsoft-Patch installieren und auch bestimmte TCP- und UDP-Ports für SMB Sessions blockieren. Zudem sollte das NTLM Single sign-on zu externen Quellen verhindert werden. Und Nutzer sollten längere und komplexere Passwörter verwenden.

Nachdem dieser Fehler jetzt bekannt ist, steige laut Microsoft auch die Wahrscheinlichkeit, dass er ausgenutzt werde. Insgesamt hat Microsoft 63 Verwundbarkeiten geschlossen. 22 davon stuft der Anbieter als kritisch ein.

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.