Microsoft spijkert oplossing voor Outlook-lek bij
Het nieuwe zero-click-lek in Outlook, met als codenaam CVE-2023-29324, had een impact op alle ondersteunde Windows-versies en werd ontdekt door Ben Barnea, security-onderzoeker bij Akamai. “Alle Windows-versise worden getroffen door deze kwetsbaarheid en bij uitbreiding alle client-versies van Outlook op Windows”, zei Barnea op de blog van het bedrijf.
Het oorspronkelijke beveiligingslek (CVE-2023-23397) werd in maart gedicht. Het ging daar om een escalatie van toegangsprivileges in de clientversie van Outlook. Via een cyberaanval zouden kwaadwillenden NTLM-hashes kunnen stelen, zonder interactie van gebruikers (vandaar de term zero-click, nvdr.). Concreet zouden hackers berichten kunnen versturen met uitgebreide MAPI-eigenschappen met daarin UNC-paden naar custom notificatiegeluiden. Daardoor maakte de Outlook-client dan verbinding met SMB-shares van de hackers.
Microsoft dicht lek opnieuw
Microsoft dichtte de kwetsbaarheid door een MapUrlToZone-opdracht toe te voegen, zodat de UNC-paden niet meer naar internet-URL’s konden doorlinken. Custom geluiden vanuit onlinebronnen werden ook automatisch vervangen door standaardgeluiden.
De nieuwste kwetsbaarheid zat ‘m in reminders. Die berichten konden aangepast worden, waardoor de MapUrlToZone om de tuin geleid kon worden om remote paden toch voor lokale paden te aanzien. Dat omzeilde dus de oorspronkelijke oplossing en gaf hackers alsnog toegang. “Het issue lijkt een gevolg te zijn van een complexe structuur van paden in Windows”, aldus Barnea. Microsoft waarschuwt nu dat klanten de updates moeten installeren om beide lekken te dichten.
Microsoft liet aan Bleeping Computer weten dat de kwetsbaarheid uitgebuit werd door Russische staatshackers, ook wel bekend onder de naam STRONTIUM, Sednit, Sofacy of Fancy Bear. Zij hebben vorig jaar aanvallen uitgevoerd op minstens 14 doelwitten, waaronder overheden, het leger, energieleveranciers en transportorganisaties. Microsoft heeft een script uitgebracht waarmee Exchange-admins kunnen controleren of er binnengebroken werd in hun servers.