Outlook: Schwachstelle ermöglicht Passwortklau per Kalendereinladung

In Microsofts E-Mail-Software Outlook gibt es wohl eine Schwachstelle, die von Cyberkriminellen ausgenutzt werden kann, um Passwörter anderer Nutzer abzugreifen. Die jeweilige Zielperson muss dafür lediglich eine an eine speziell präparierte E-Mail angehängte Kalendereinladung öffnen. Daraufhin übertrage Outlook den NTLM-v2-Hash des Nutzerpasswortes an ein vom Angreifer kontrolliertes System, erklären Sicherheitsforscher von Varonis in einem neuen Blogbeitrag.

Damit der Angriff gelingt, muss die an das Postfach der Zielperson übermittelte E-Mail über zwei spezielle Header verfügen. Einer davon teilt Outlook mit, dass die Nachricht freigegebene Inhalte enthält. Der andere Header verweist auf eine Datei auf dem System des Angreifers – im ICS-Format, einem als iCalendar bekannten Datenformat zum Austausch von Kalenderinhalten.

Öffnet die Zielperson die Kalendereinladung in Outlook, so versucht die Software, sich gegenüber dem Angreifersystem zu authentifizieren, um auf die ICS-Datei zugreifen zu können. Dabei wird der NTLM-v2-Hash des Passwortes übertragen.

Passwörter lassen sich per Brute Force ermitteln

Das tatsächliche Passwort lasse sich anschließend beispielsweise durch einen Brute-Force-Angriff ermitteln, erklären die Forscher. Dieser könne lokal auf einem System des Angreifers stattfinden und hinterlasse folglich keine Spuren im Netzwerk. Es gibt aber auch Webtools, die über Datenbanken mit Milliarden von NTLM-Hashes bekannter Passwörter verfügen. Taucht der abgegriffene Hash darin auf, so lässt sich das zugehörige Passwort damit umso schneller ermitteln.

Darüber hinaus sei anhand des NTLM-v2-Hashes aber auch eine Authentication-Relay-Attacke möglich, warnen die Sicherheitsforscher. Der Angreifer könne also die Authentifizierungsanfrage seines Opfers abgreifen und sich damit selber an einem anvisierten Zielsystem anmelden, ohne das Passwort im Klartext kennen zu müssen.

Outlook-Schwachstelle gepatcht, andere hingegen nicht

Microsoft stellte für die als CVE-2023-35636 registrierte Sicherheitslücke am 12. Dezember 2023 einen Patch bereit und stufte sie mit einem CVSS von 6,5 als "wichtig" ein. An den Konzern gemeldet habe Varonis die Schwachstelle schon im Juli 2023, erklären die Forscher – zusammen mit zwei weiteren Sicherheitslücken im Windows-Dateiexplorer und im Windows Performance Analyzer (WPA), die ebenfalls zur Offenlegung von NTLM-v2-Hashes führen könnten.

Die Tickets zu Letzteren habe Microsoft jedoch aufgrund ihres "moderaten Schweregrades" geschlossen. "Diese wurden nicht gepatcht; laut Microsoft wurde dieses Verhalten nicht als Schwachstelle betrachtet", sagte einer der Sicherheitsforscher von Varonis SC Media.

Am Ende ihres Berichts teilen die Forscher ein paar mögliche Schutzmaßnahmen, die dem unbeabsichtigten Abfluss von NTLM-v2-Hashes vorbeugen können. Dazu zählt beispielsweise das Blockieren ausgehender NTLM-Authentifizierungen, was unter Windows 11 inzwischen möglich sei, sowie das Erzwingen der Kerberos-Authentifizierung.