Eine kürzlich behobene Sicherheitslücke in Microsoft Outlook konnte von Angreifern ausgenutzt werden, um auf NT LAN Manager (NTLM) v2 gehashte Passwörter zuzugreifen, wenn eine speziell gestaltete Datei geöffnet wurde. Diese Schwachstelle, bekannt als CVE-2023-35636 und mit einem CVSS-Score von 6.5 bewertet, wurde von Microsoft im Rahmen seiner Patch Tuesday Updates im Dezember 2023 behoben.
„Bei einem E-Mail-Angriff könnte ein Angreifer die Schwachstelle ausnutzen, indem er die speziell gestaltete Datei an den Benutzer sendet und ihn dazu überredet, die Datei zu öffnen“, erklärte Microsoft in einer Beratung. In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die benutzergenerierte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, die darauf ausgelegt ist, die Schwachstelle auszunutzen.
Die Schwachstelle CVE-2023-35636 liegt in der Kalenderfreigabefunktion der Outlook-E-Mail-Anwendung. Hierbei wird eine bösartige E-Mail-Nachricht erstellt, indem zwei Header, „Content-Class“ und „x-sharing-config-url“, mit speziell gestalteten Werten eingefügt werden, um den NTLM-Hash eines Opfers während der Authentifizierung preiszugeben.
Laut Dolev Taler, Sicherheitsforscher bei Varonis, der die Sicherheitslücke entdeckt und gemeldet hat, können NTLM-Hashes durch die Ausnutzung von Windows Performance Analyzer (WPA) und Windows File Explorer geleakt werden. Diese beiden Angriffsmethoden bleiben jedoch unbehoben.
„Interessant ist, dass WPA versucht, sich über das offene Internet mit NTLM v2 zu authentifizieren“, sagte Taler. „Normalerweise sollte NTLM v2 verwendet werden, wenn man versucht, sich gegenüber internen IP-basierten Diensten zu authentifizieren. Wenn jedoch der NTLM v2-Hash durch das offene Internet übertragen wird, ist er anfällig für Relay- und Offline-Brute-Force-Angriffe.“
Diese Enthüllung erfolgt, nachdem Check Point einen Fall von „erzwungener Authentifizierung“ aufgedeckt hat, der genutzt werden könnte, um NTLM-Token eines Windows-Benutzers zu leaken, indem das Opfer dazu verleitet wird, eine bösartige Microsoft Access-Datei zu öffnen.
Microsoft kündigte im Oktober 2023 an, NTLM in Windows 11 zugunsten von Kerberos aus Gründen der Sicherheit abzuschaffen, da NTLM keine kryptografischen Methoden unterstützt und anfällig für Relay-Angriffe ist.