Outlook von Microsoft ist vielen Menschen aus ihrem beruflichen Alltag vertraut. In einer Windows-Umgebung wird es häufig als zentrales Programm für E-Mails und Terminplanung genutzt, um den Arbeitsalltag zu organisieren. Diese Praktikabilität macht es jedoch auch potenziell attraktiv für Cyberkriminelle.
Outlook: Darum ist dein Passwort in Gefahr
Sicherheitsprofis von Varonis haben in einem neuen Blogeintrag eine Schwachstelle in Microsoft Outlook beschrieben, die Kriminelle für sich ausnutzen können. Damit könnten sie in den Besitz von Passwörtern gelangen. Und alles, was dafür getan werden muss, ist es, eine Kalendereinladung zu öffnen, die als Anhang an eine präparierte E-Mail gesendet wurde.
Anschließend würde das Programm den sogenannten NTLM-v2-Hash zur Authentifizierung des Passwortes an ein System übermitteln, dass der Angreifer oder die Angreiferin kontrolliert. Damit der Prozess wirklich gelingt, muss die bösartige E-Mail zwei besondere Header enthalten. In einem erhält Outlook die Nachricht über freigegebene Inhalte. Der andere weist auf eine Datei im ICS-Dateiformat (auch bekannt als iCalendar zum Austausch von Kalenderinhalten), die sich auf dem System der Kriminellen befindet.
Beim Öffnen der Einladung versucht nun Outlook, sich gegenüber dem Angreifersystem zu authentifizieren. Damit will die Software Zugriff auf die ICS-Datei erhalten. Genau an diesem Punkt kommt es zur Übermittelung des NTLM-v2-Hashs.
Auch interessant: Microsofts Anwendung kann nicht nur ein mögliches Einfallstor für Verbrecherinnen und Verbrecher sein. Outlook gibt auch persönliche Daten an Hunderte Konzerne weiter, wie man selbst mitteilen musste.
Vielfältige Hacks mit NTLM-v2-Hash möglich
Mit dem Hash im Besitz kann man an das konkrete Passwort auf verschiedene Weise gelangen. Eine Brute-Force-Attacke auf dem eigenen System könnten die bösartigen Akteure und Akteurinnen durchführen, ohne dass dies nachverfolgbar wäre.
Gleichzeitig gibt es aber auch Datenbanken mit Milliarden NTLM-Hashes, die man einfach abgleichen kann, um so das damit verbundene Passwort zu bekommen. Als dritte Option wäre auch eine Authentication-Relay-Attacke denkbar – dabei greift man die Authentifizierungsanfrage des Opfers direkt ab und kann sich selbst anmelden. Das konkrete Passwort müsste in diesem Fall nicht einmal bekannt sein.
Microsoft reagierte bereits
Eigenen Angaben nach haben die Sicherheitsexpertinnen und -experten Microsoft bereits im Juli 2023 darüber informiert zusammen mit weiteren Problemen. Der Windows-Macher stellte dann im Dezember einen Patch bereit, der aber nur eine von insgesamt drei Schwachstellen adressiert. Offenbar geht man von den anderen nicht davon aus, dass sie besonders wichtig seien.
Um sich und das eigene Passwort bei Outlook zu schützen, empfiehlt das Team von Varonis, ausgehende NTLM-Authentifizierungen zu blockieren. Dies soll mit Windows 11 möglich sein. In der Microsoft-Community gibt es dazu bereits eine entsprechende Anleitung.
Quellen: Varonis, Microsoft
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.