Terug naar overzicht

Wil je meer weten over IT?

Lees alle handige tips via onze blog!

stay informed

Microsoft Outlook loopt gevaar! Patchen is de boodschap

beginnen met outlook banner.jpg

Microsoft bracht nieuws over een Outlook Elevation of Privilege Vulnerability (CVE-2023-23397). Het probleem wordt ook beschreven in de EHLO blog onder een "Awareness" rubriek. Het probleem is echter ernstig genoeg voor Microsoft om een reeks beveiligingsupdates uit te brengen voor alles van Microsoft 365 apps voor ondernemingen (Outlook op abonnementsbasis) tot Outlook 2013 SP1. Het komt erop neer dat "een aanvaller die deze kwetsbaarheid met succes uitbuit, toegang kan krijgen tot de Net-NTLMv2 hash van een gebruiker, die kan worden gebruikt als basis voor een NTLM Relay-aanval tegen een andere dienst om zich te authenticeren als de gebruiker."

Met deze exploit kan een hacker zich voordoen als een gebruiker zonder dat de gebruiker iets moet doen.

Een aanvaller kan de kwetsbaarheid misbruiken door een speciaal geformatteerde afspraak naar een gebruiker te sturen. De afspraak is al verlopen en de eigenschap PidLidReminderFileParameter wijst naar een UNC-pad, waardoor Windows de inlognaam van de gebruiker en zijn NTLM-wachtwoord hash (een techniek die in andere aanvallen zoals dit voorbeeld wordt gebruikt) verstuurt. Wanneer Outlook het bericht verwerkt, krijgt de aanvaller de gebruikersgegevens en kan deze gebruiken om het account te compromitteren. Omdat het bericht een afspraak is, opent Outlook het niet in het voorbeeldvenster en verwerkt het agenda-item achter de schermen, zodat de gebruiker mogelijk niet eens weet dat hij een kwaadaardige afspraak heeft ontvangen.

Dit treft alle versies van Outlook op Windows, niet voor Mac of iOS of Android.

Updaten is de boodschap

1. Start u de Outlook-app op uw computer.

2. Klik linksboven in Outlook op "Bestand"..

3. In de geopende zijbalk klikt u op "Office Account".

4. Klik in het rechterdeelvenster onder de kop "Office Updates" op Update-opties > Nu bijwerken.

5. Wacht tot Outlook de laatste updates op uw computer heeft gevonden en geïnstalleerd. Ondertussen kunt u gewoon met uw e-mails blijven werken.

 

Wil je nog meer info over deze vulnerability of hulp voor het updaten? Contacteer ons zeker!

 

Meer geavanceerdere uitleg

Stappen die een IT'er neemt om deze kwetsbaarheid tegen te gaan:

  • TCP 445/SMB outbound van uw netwerk blokkeren om het NTLM-verkeer te stoppen.
  • Outlook patchen met de beveiligingsupdates van Microsoft. Als er geen beveiligingsupdate beschikbaar is voor een versie van Outlook die in uw organisatie wordt uitgevoerd, werkt u Outlook bij naar een ondersteunde versie. Deze actie moet de hoogste prioriteit hebben. Als kwetsbare Outlook-clients actief blijven, staat uw organisatie open voor uitbuiting.
  • Microsoft raadt u aan on-premises accounts toe te voegen aan de beveiligingsgroep voor beschermde gebruikers. Windows 2012 R2 en nieuwere domeincontrollers ondersteunen deze groep, die het gebruik van NTLM als authenticatiemethode door groepsleden voorkomt. Microsoft waarschuwt dat het toevoegen van iedereen aan de groep gevolgen kan hebben voor toepassingen die NTLM vereisen, dus dit is een tactiek die het best kan worden gebruikt voor geselecteerde accounts met een hoog profiel.
  • Voer het door Microsoft ontwikkelde PowerShell-script uit om verdachte items te vinden en te verwijderen. Deze actie is geen beperking van de kwetsbaarheid. Het vindt alleen items die mogelijk een payload bevatten. Het script is niet snel. Er is geen goede manier om te filteren op de PidLidReminderFileParameter eigenschap, dus gebruikt het script Exchange Web Services (EWS) om de eigenschappen van individuele mailbox items te onderzoeken. Afhankelijk van de grootte van de mailboxen en het aantal items in de mailboxen duurt het uitvoeren van dit script eerder uren dan minuten. Het is geen snel proces. Hoewel Exchange Online geen NTLM ondersteunt, bestaat de mogelijkheid dat een Exchange Online gebruiker een geïnfecteerd item doorstuurt naar een Exchange on-premise account en zo een open vector voor een aanval creëert. Daarom kan het script Exchange Online mailboxen verwerken.

Voel je je niet thuis in IT? Krijg volledige controle over de IT van je bedrijf! Gebruik onze checklist en laat alle frustraties achterwege.

DOWNLOAD JE CHECKLIST
Ook interessant voor je vrienden?Deel dit artikelLinkedinMail