Outlook: Schwachstelle ermöglicht Passwortklau per Kalendereinladung

Zunächst erhält der Angreifer wohl nur einen NTLM-v2-Hash. Durch einen Brute-Force-Angriff kann er das Passwort jedoch auch im Klartext bestimmen.

Artikel veröffentlicht am , Marc Stöckel
Über Kalendereinladungen lässt sich eine Outlook-Schwachstelle ausnutzen.
Über Kalendereinladungen lässt sich eine Outlook-Schwachstelle ausnutzen. (Bild: pixabay.com / 200degrees)

In Microsofts E-Mail-Software Outlook gibt es wohl eine Schwachstelle, die von Cyberkriminellen ausgenutzt werden kann, um Passwörter anderer Nutzer abzugreifen. Die jeweilige Zielperson muss dafür lediglich eine an eine speziell präparierte E-Mail angehängte Kalendereinladung öffnen. Daraufhin übertrage Outlook den NTLM-v2-Hash des Nutzerpasswortes an ein vom Angreifer kontrolliertes System, erklären Sicherheitsforscher von Varonis in einem neuen Blogbeitrag.

Damit der Angriff gelingt, muss die an das Postfach der Zielperson übermittelte E-Mail über zwei spezielle Header verfügen. Einer davon teilt Outlook mit, dass die Nachricht freigegebene Inhalte enthält. Der andere Header verweist auf eine Datei auf dem System des Angreifers – im ICS-Format, einem als iCalendar bekannten Datenformat zum Austausch von Kalenderinhalten.

Öffnet die Zielperson die Kalendereinladung in Outlook, so versucht die Software, sich gegenüber dem Angreifersystem zu authentifizieren, um auf die ICS-Datei zugreifen zu können. Dabei wird der NTLM-v2-Hash des Passwortes übertragen.

Passwörter lassen sich per Brute Force ermitteln

Das tatsächliche Passwort lasse sich anschließend beispielsweise durch einen Brute-Force-Angriff ermitteln, erklären die Forscher. Dieser könne lokal auf einem System des Angreifers stattfinden und hinterlasse folglich keine Spuren im Netzwerk. Es gibt aber auch Webtools, die über Datenbanken mit Milliarden von NTLM-Hashes bekannter Passwörter verfügen. Taucht der abgegriffene Hash darin auf, so lässt sich das zugehörige Passwort damit umso schneller ermitteln.

Darüber hinaus sei anhand des NTLM-v2-Hashes aber auch eine Authentication-Relay-Attacke möglich, warnen die Sicherheitsforscher. Der Angreifer könne also die Authentifizierungsanfrage seines Opfers abgreifen und sich damit selber an einem anvisierten Zielsystem anmelden, ohne das Passwort im Klartext kennen zu müssen.

Outlook-Schwachstelle gepatcht, andere hingegen nicht

Microsoft stellte für die als CVE-2023-35636 registrierte Sicherheitslücke am 12. Dezember 2023 einen Patch bereit und stufte sie mit einem CVSS von 6,5 als "wichtig" ein. An den Konzern gemeldet habe Varonis die Schwachstelle schon im Juli 2023, erklären die Forscher – zusammen mit zwei weiteren Sicherheitslücken im Windows-Dateiexplorer und im Windows Performance Analyzer (WPA), die ebenfalls zur Offenlegung von NTLM-v2-Hashes führen könnten.

Die Tickets zu Letzteren habe Microsoft jedoch aufgrund ihres "moderaten Schweregrades" geschlossen. "Diese wurden nicht gepatcht; laut Microsoft wurde dieses Verhalten nicht als Schwachstelle betrachtet", sagte einer der Sicherheitsforscher von Varonis SC Media.

Am Ende ihres Berichts teilen die Forscher ein paar mögliche Schutzmaßnahmen, die dem unbeabsichtigten Abfluss von NTLM-v2-Hashes vorbeugen können. Dazu zählt beispielsweise das Blockieren ausgehender NTLM-Authentifizierungen, was unter Windows 11 inzwischen möglich sei, sowie das Erzwingen der Kerberos-Authentifizierung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Cool White
Weiß angestrichene Dächer kühlen Gebäude effektiv

Ein deutsches Projekt in Ruanda zeigt, dass ein spezieller weißer Anstrich, die Temperaturen in Gebäuden drastisch reduzieren kann.

Cool White: Weiß angestrichene Dächer kühlen Gebäude effektiv
Artikel
  1. Texte mit KI: ChatGPT hat den Verstand verloren
    Texte mit KI  
    "ChatGPT hat den Verstand verloren"

    Ein Bug in ChatGPT schien für besonders schlechte Ausgaben zu sorgen. Das Tool halluzinierte und gab nur noch Kauderwelsch aus.

  2. Spionagevorwurf: Gericht will Assange-Entscheidung im März fällen
    Spionagevorwurf
    Gericht will Assange-Entscheidung im März fällen

    Erst im kommenden Monat will das Londoner Gericht entscheiden, ob Großbritannien Julian Assange an die USA ausliefern darf oder nicht.

  3. Intel Foundry Event: Intel will bis 2030 mit TSMC konkurrieren
    Intel Foundry Event
    Intel will bis 2030 mit TSMC konkurrieren

    Die auf dem IFS-Event vorgelegte Roadmap ist in jeder Hinsicht ambitioniert. Intel will Masse und Klasse gleichzeitig liefern, mit modernsten Fertigungsprozessen, Industry-Firsts und mehreren neuen Fabriken.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MindStar: MSI RTX 4090 1.889€ • Roccat -58% • Neu: Sony Pulse Elite Headset 149,99€ • Hisense TV-Bestseller 259€ • Thrustmaster -36% • EA-Spiele -74% • PCGH Cyber Week 2024 • Logitech G502 Hero 49,99€ • Samsung Neo QLED TV 65" -50% • PS5 Slim 469€ • PS Portal 220€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /