April 2018 Patch Tuesday is uitgerold. Het bevat 66 security oplossingen voor problemen. Een van de meest intrigerende plekken gaat om een oudere Microsoft Outlook fout die voor het eerst werd gemeld in 2016.
Echter, volgens Will Dormann, de kwetsbaarheid analist bij CERT die de gegevens hebben verstrekt, de net uitgebrachte patch is niet compleet en het moet verder workarounds. De bug in kwestie is CVE-2018-0950.
Wat is CVE-2018-0950?
Microsoft Outlook wordt automatisch inhoud remote OLE halen wanneer een RTF-e-mail wordt bekeken. Wanneer inhoud remote OLE wordt gehost op een SMB / CIFS-server, de Windows-client systeem probeert te authenticeren met de server met behulp van single sign-on (SSO). Dit kan het IP-adres van de gebruiker lekken, domeinnaam, gebruikersnaam, hostnaam, en wachtwoord hash. Indien het wachtwoord van de gebruiker is niet complex genoeg, dan kan een aanvaller in staat zijn om het wachtwoord te kraken in een korte tijd.
Microsoft Outlook wordt automatisch inhoud remote OLE halen wanneer een RTF-e-mail wordt bekeken. Wanneer inhoud remote OLE wordt gehost op een SMB / CIFS-server, de Windows-client systeem probeert te authenticeren met de server met behulp van single sign-on (SSO). Dit kan het IP-adres van de gebruiker lekken, domeinnaam, gebruikersnaam, hostnaam, en wachtwoord hash. Indien het wachtwoord van de gebruiker is niet complex genoeg, dan kan een aanvaller in staat zijn om het wachtwoord te kraken in een korte tijd.
De onderzoeker is van mening dat het grootste probleem met deze bug is dat Outlook maakt automatisch de inhoud van externe OLE-objecten (Object Linking and Embedding) ingebed in rijke geformatteerde e-mails zonder eerst de gebruiker wordt gevraagd. Deze activiteit wordt in verband gebracht met andere Microsoft Office-producten zoals Word, PowerPoint en Excel, en is uitgegroeid tot een gemeenschappelijke aanvalsvector voor kwaadaardige acteurs.
De kwetsbaarheid analist vastgesteld dat de bug zou kunnen worden benut om gebruikersaccount wachtwoorden te stelen, of meer specifiek NTLM hashes. Hij voerde de succesvolle misbruiken door het sturen van een e-mail naar een Outlook-account die had een OLE-object ingebed, het maken van verzoeken naar een externe SMB-server van kwaadaardige natuur. Standaard is de beoogde Windows-computer zou proberen te authenticeren op deze afgelegen en kwaadaardige SMB-server door het delen van de gebruiker NTLM hash, de onderzoeker ontdekt.
Het is heel gemakkelijk voor een aanvaller om een voordeel van deze aanvalsvector te nemen - door simpelweg het verzamelen van de hashes, dan ze te kraken offline, en gebruik te maken van hen om het systeem van het slachtoffer te infiltreren. Andere componenten van het interne netwerk kan ook worden beïnvloed.
Wat is het probleem met Microsoft's Patch?
Blijkbaar, het bedrijf gericht de kwetsbaarheid slechts gedeeltelijk door het patchen van de SMB aanvalsvector. De onderzoeker op de hoogte van Microsoft over de OLE-geassocieerde probleem als gevolg van CVE-2018-0950 in november 2016. 18 maanden later, Microsoft heeft eindelijk gaf een patch in april 2018 Patch Tuesday, maar als het blijkt, de patch lost alleen het probleem halverwege. De kern van het probleem blijft onopgelost.
Niettemin, de patch voor dit beveiligingslek is nog steeds van cruciaal belang en moet onmiddellijk worden toegepast.
Wat betreft de tijdelijke oplossingen:
1. Blokkeer inkomende en uitgaande SMB-verbindingen op uw netwerk grens;
2. Block NTLM Single Sign-on (SSO) authenticatie;
3. Gebruik complexe wachtwoorden.
Meer details zijn te vinden in het advies gepubliceerd op CERT kwetsbaarheid Notes-database.