Warum Microsoft gerade den Patch gepatcht hat, der den angegriffenen Outlook-Fehler behoben hat • The Register

Im März hat Microsoft eine interessante Sicherheitslücke in Outlook behoben, die Kriminelle ausnutzten, um die Windows-Anmeldeinformationen der Opfer preiszugeben. Diese Woche hat der IT-Riese diesen Fix im Rahmen seines monatlichen Dienstags-Updates gepatcht.

Um Sie an den ursprünglichen Fehler zu erinnern, wurde er als verfolgt CVE-2023-23397: Es war möglich, jemandem eine Erinnerung per E-Mail mit einem benutzerdefinierten Benachrichtigungston zu senden. Dieses benutzerdefinierte Audio kann als URL-Pfad innerhalb der E-Mail angegeben werden.

Wenn die falsche Person sorgfältig E-Mails erstellt hat, bei denen der Audiopfad auf einen Remote-SMB-Server festgelegt ist, übergibt Outlook beim Abrufen der Nachricht und deren Verarbeitung automatisch den Pfad zum Dateiserver und übergibt dem Benutzer, der dies versucht, einen Net-NTLMv2-Hash Anmeldung. Dadurch wird der Hash effektiv an eine externe Partei weitergegeben, die möglicherweise die Anmeldeinformationen verwenden könnte, um auf andere Ressourcen wie diesen Benutzer zuzugreifen, was es Hackern ermöglicht, interne Netzwerksysteme zu erkunden, Dokumente zu stehlen, sich als ihr Opfer auszugeben und so weiter.

Der Patch von vor zwei Monaten sorgte dafür, dass Outlook die Windows-Funktionalität nutzen konnte MapUrlToZone Um zu überprüfen, wohin die Tonspur der Benachrichtigung wirklich führt, wird sie, wenn sie online ist, ignoriert und der Standardton abgespielt. Dies hätte verhindern sollen, dass der Client eine Verbindung zu einem Remote-Server herstellt und Hashes verliert.

Es stellte sich heraus, dass der auf MapUrlToZone basierende Schutz umgangen werden kann, was Microsoft dazu veranlasste, im März und Mai einen Fix dafür bereitzustellen. Der ursprüngliche Fehler wurde in freier Wildbahn ausgenutzt, und als sein Patch landete, erregte er die Aufmerksamkeit aller. Dieses Interesse trug dazu bei, deutlich zu machen, dass die Reform unvollständig war.

Und wenn die Schwachstelle unvollständig bleibt, kann jeder, der den ursprünglichen Fehler ausnutzt, die andere Schwachstelle nutzen, um den ursprünglichen Patch zu umgehen. Um es klarzustellen: Es ist nicht so, dass der Fix CVE-2023-23397 nicht funktioniert hätte – er hat funktioniert – er hat nicht ausgereicht, um die Lücke in der benutzerdefinierten Audiodatei vollständig zu schließen.

Diese Sicherheitslücke ist ein weiteres Beispiel für die Patch-Überprüfung, die zu neuen Sicherheitslücken und Missbräuchen führt. Er sagte Ben Parnia von Akamai, der den MapUrlToZone-Überlauf entdeckt und gemeldet hat.

Speziell für diese Schwachstelle ermöglicht das Hinzufügen eines einzelnen Zeichens die Umgehung eines kritischen Patches.

Entscheidend ist, dass der erste Fehler bei Outlook auftrat, das zweite Problem bei MapUrlToZone jedoch auf die Implementierung dieser Funktionalität in der Windows-API durch Microsoft zurückzuführen ist. Parnia schreibt, dass dies bedeute, dass der zweite Patch nicht für Outlook, sondern für die zugrunde liegende MSHTML-Plattform in Windows sei und dass alle Versionen des Betriebssystems von diesem Fehler betroffen seien. Das Problem besteht darin, dass die in böswilliger Absicht generierte Route an MapUrlToZone übergeben werden kann, sodass die Funktion feststellt, dass die Route nicht zum externen Internet führt, obwohl dies tatsächlich der Fall ist, wenn die Anwendung die Route öffnet.

Laut Barnea können E-Mails eine Erinnerung enthalten, die einen benutzerdefinierten Benachrichtigungston enthält, der als Pfad über eine mit PidLidReminderFileParameter erweiterte MAPI-Eigenschaft angegeben wird.

„Ein Angreifer könnte einen UNC-Pfad angeben, der den Client dazu veranlassen würde, die Audiodatei von einem beliebigen SMB-Server abzurufen“, erklärte er. Im Rahmen der Verbindung zum Remote-SMB-Server wird ein Net-NTLMv2-Hash in einer Aushandlungsnachricht gesendet.

Dieser Fehler war schlimm genug, um eine CVSS-Schweregradbewertung von 9,8 von 10 zu erhalten, und war bis zur Veröffentlichung des Fixes im März etwa ein Jahr lang von einer Crew auf dem Weg nach Russland ausgenutzt worden. Die Cyberbande nutzte es bei Angriffen gegen Organisationen in europäischen Regierungen sowie im Transport-, Energie- und Militärbereich.

Um eine Umgehung für den ursprünglichen Patch von Microsoft zu finden, wollte Barnea eine Route erstellen, die MapUrlToZone als lokal, Intranet oder vertrauenswürdige Zone kennzeichnen würde – was bedeutet, dass Outlook ihr sicher folgen kann –, aber wenn sie an die CreateFile-Funktion übergeben wird, um sie zu öffnen, würde sie dies tun Das Betriebssystem stellt eine Verbindung zu einem Remote-Server her.

Schließlich fand er heraus, dass die Bastarde die URL in Erinnerungen ändern konnten, was MapUrlToZone dazu verleitete, zu überprüfen, ob Remote-Pfade als lokale Pfade angesehen wurden. Dies kann mit einem einzigen Tastendruck erfolgen, indem ein zweites „\“ zum UNC-Pfad (Universal Naming Convention) hinzugefügt wird.

„Ein nicht authentifizierter Angreifer im Internet könnte die Sicherheitslücke ausnutzen, um einen Outlook-Client zu zwingen, eine Verbindung zu einem vom Angreifer kontrollierten Server herzustellen“, schrieb Parnia. „Dies führt dazu, dass NTLM-Anmeldeinformationen gestohlen werden. Es handelt sich um eine nicht anklickbare Schwachstelle, was bedeutet, dass sie ohne Benutzerinteraktion ausgeführt werden kann.“

Er fügte hinzu, dass das Problem „das Ergebnis der komplexen Handhabung von Pfaden in Windows“ zu sein scheint. … Wir glauben, dass diese Art von Verwirrung zu Schwachstellen in anderen Programmen führen kann, die MapUrlToZone in einem benutzergesteuerten Pfad verwenden und dann eine Dateioperation verwenden (z. B. CreateFile oder die API-ähnlichen Apps) auf demselben Pfad.

Panne, CVE-2023-29324Er hat einen CVSS-Schweregrad von 6,5. Microsoft empfiehlt Organisationen Reparatur Sowohl diese Schwachstelle – im Rahmen des Patch Tuesday wurde diese Woche ein Patch veröffentlicht – als auch die vorherige Schwachstelle CVE-2023-23397.

Parnia schrieb, er hoffe, dass Microsoft die benutzerdefinierte Erinnerungstonfunktion entfernen werde, da sie mehr Sicherheitsrisiken berge als einen potenziellen Nutzen für Benutzer.

„Es handelt sich um eine No-Click-Angriffsoberfläche für die Medienanalyse, die kritische Schwachstellen hinsichtlich der Speicherbeschädigung enthalten kann“, schrieb er. „Angesichts der Allgegenwärtigkeit von Windows könnte die Eliminierung einer so ausgereiften Angriffsfläche einige sehr positive Auswirkungen haben.“ ®