Forscher von Morphisec haben detaillierte technische Informationen über eine kürzlich entdeckte Zero-Click-Sicherheitslücke in Microsoft Outlook veröffentlicht, die als CVE-2024-38021 identifiziert wurde. Diese Schwachstelle stellt ein erhebliches Sicherheitsrisiko dar, da potenzielle Angreifer in der Lage sind, beliebigen Code auszuführen, ohne dass eine Authentifizierung des Nutzers erforderlich ist.
Schwachstelle in der Verarbeitung von Bild-Tags
Die Schwachstelle nutzt einen Fehler in der Art und Weise aus, wie Outlook mit sogenannten Composite Monikers in Bild-Tag-URLs umgeht. Anders als bei der früheren Schwachstelle CVE-2024-21413, die mit der Verarbeitung von Hyperlinks zusammenhing, umgeht CVE-2024-38021 Microsofts ursprünglichen Patch, indem die Methode mso30win32client!HrPmonFromUrl ins Visier genommen wird.
Diese Methode, die für das Parsen von URLs innerhalb von Bild-Tags verantwortlich ist, setzt nicht das Flag BlockMkParseDisplayNameOnCurrentThread. Dadurch wird die Verarbeitung von Composite Monikers erlaubt, was zur unsicheren Funktion MkParseDisplayName führt.
Angriffsmethode und Risiko
Der Angriff erfolgt durch das Einfügen eines Composite Monikers in eine Bild-Tag-URL. Dies umgeht die Sicherheitsmaßnahmen, die in der Funktion zur Erstellung von Hyperlinks implementiert wurden, und ermöglicht potenziell die Ausführung von Remote-Code sowie das Leaken von lokalen NTLM-Anmeldeinformationen.
Microsofts Patch und verbleibende Risiken
Microsoft hat für CVE-2024-38021 einen Patch bereitgestellt, der ähnlich wie bei der vorherigen Schwachstelle das BlockMkParseDisplayNameOnCurrentThread-Flag in der HrPmonFromUrl-Funktion nutzt. Dies verhindert den Aufruf der anfälligen MkParseDisplayName-Funktion bei Composite Monikers in Bild-Tag-URLs.
Allerdings stellten die Forscher fest, dass das einfache Übermitteln eines File Monikers weiterhin zu lokalen NTLM-Anmeldeinformationslecks führen kann. Dies zeigt, dass der Patch nicht alle potenziellen Sicherheitsrisiken vollständig behebt.
Sicherheitsbewertung und Empfehlungen
Microsoft hat diese Schwachstelle mit einer „Wichtigen“ Sicherheitsbewertung eingestuft und unterscheidet dabei zwischen vertrauenswürdigen und nicht vertrauenswürdigen Absendern. Für vertrauenswürdige Absender ist die Schwachstelle Zero-Click, während bei nicht vertrauenswürdigen Absendern eine einmalige Benutzerinteraktion erforderlich ist.
Angesichts der weitreichenden Auswirkungen und des Zero-Click-Potenzials bei vertrauenswürdigen Absendern hat Morphisec Microsoft gebeten, die Schwere der Schwachstelle neu zu bewerten und als „Kritisch“ einzustufen.
Handlungsempfehlungen für Organisationen
Organisationen wird dringend geraten:
- Alle Microsoft Outlook- und Office-Anwendungen umgehend zu aktualisieren.
- Robuste E-Mail-Sicherheitsmaßnahmen zu implementieren, einschließlich der Deaktivierung automatischer E-Mail-Vorschauen.
- Nutzer über die Risiken beim Öffnen von E-Mails aus unbekannten Quellen aufzuklären.
Zusätzlich kann die Implementierung von Automated Moving Target Defense (AMTD)-Techniken das Risiko einer Ausnutzung von Schwachstellen wie CVE-2024-38021 erheblich reduzieren.
