Microsofts Outlook-Update schließt nicht alle Sicherheitslecks

In dem Patch-Tuesday hat Microsoft ein Outlook-Leck behoben, das der Hersteller mit „wichtig“ eingestuft hat. Wenn Nutzer eine Vorschau eines Rich Text Formates (RTF) in einer Mail mit einer remote gehosteten OLE-Objekt aufrufen. OLE steht für Object Linking and Embedding.

Outlook (Grafik: Microsoft)

Der Fehler wurde von Will Dormann, einem Analysten von CERT/CC im November 2016 entdeckt und nun geschlossen. Allerdings warnt Will Dormann, dass Microsoft damit nicht alle Angriffsvektoren geschlossen hat. Der Sicherheits-Analyst rät Admins, das Update zu installieren, jedoch auch noch weitere Vorkehrungen zu treffen.

Das Leck entsteht durch die Behandlung Outlooks von RTF-Mails mit OLE-Objekten, die auf einem remote SMB (Server Message Block) gehostet werden. SMB ist ein File-Sharing-Protokoll für Netzwerke. Diese SMB-Server können das Authentifizierungsprotokoll von Microsofts NT LAN Manager (NTLM) nutzen, um eine Verbindung zwischen einem Windows-Client und einem SMB-Server herzustellen.

Dormann hatte erkannt, dass Microsoft bei SMB-Verbindungen nicht die gleichen Beschränkungen beim Laden von Inhalten vorgibt, wie wenn der Inhalt aus dem Netz geladen wird. So werden beispielsweise Bilder aus dem Netz nicht automatisch geladen, weil dadurch zum Beispiel IP-Adresse und andere Metadaten wie zum Beispiel der Zeitpunkt des Betrachtens der Mail in die Hände von Unbefugten gelangen könnten.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Doch das wird beim Laden eines Objektes von einem SMB-Server nicht verhindert. In der Folge, so warnt Dormann, stellt beim Preview einer Mail der PC automatisch eine Verbindung zu einem bösartigen Server her und tauscht mit diesem die IP Adresse, den Domain-Namen, Name, Nutzernae, Host und den SMB-Session Key aus in Form eines NTLM-Hashwertes über SMB aus. Wie verwundbar ein System ist, hängt dann unter anderem davon ab, wie stark ein Passwort ist.

Einfachere Passwörter konnte Dormann innerhalb weniger Sekunden entschlüsseln. Komplexere Passwörter können in etwa einer Viertelstunde geknackt werden. Kombinationen mit Sonderzeichen, Groß- und Kleinschreibung, Zahlen und Buchstaben können bei einem Standard-System bis zu einem Jahr in Anspruch nehmen.

Laut Dormann soll aber der Patch für CVE-2018-0950 nicht alle Angriffe verhindern. So könnten Angreifer einen Universal-Naming-Convention-Link (UNC) schicken, der mit ‚\\‘ beginnt. Ein Angreifer kann sein Opfer damit an einen bösartigen SMB-Server weiterleiten. Allerdings wird diese Verbindung nicht automatisch im Preview hergestellt, sondern das Opfer muss zunächst auf den Link klicken.

Daher sollten Administratoren den Microsoft-Patch installieren und auch bestimmte TCP- und UDP-Ports für SMB Sessions blockieren. Zudem sollte das NTLM Single sign-on zu externen Quellen verhindert werden. Und Nutzer sollten längere und komplexere Passwörter verwenden.

Nachdem dieser Fehler jetzt bekannt ist, steige laut Microsoft auch die Wahrscheinlichkeit, dass er ausgenutzt werde. Insgesamt hat Microsoft 63 Verwundbarkeiten geschlossen. 22 davon stuft der Anbieter als kritisch ein.

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Martin Schindler

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago