Event:

Cyber Future Event - 12 september

Lees verder

Pinewood Security Bulletin – Critical vulnerability in Microsoft Outlook

Pinewood Security Bulletin – Critical vulnerability in Microsoft Outlook

For English, see below.

Beschrijving

Microsoft heeft een update uitgebracht voor Microsoft Outlook die een ernstige kwetsbaarheid in deze e-mailclient verhelpt. De kwetsbaarheid stelt een kwaadwillende in staat om authenticatiegegevens van een gebruiker – in de vorm van een Net-NTLMv2-hash – buit te maken, zonder dat daarvoor gebruikersinteractie is vereist. Dat houdt in dat de kwetsbaarheid misbruikt kan worden door alleen een malafide e-mail te versturen naar een slachtoffer.

Bij succesvol misbruik zal Outlook een verbinding maken met een externe UNC-lokatie, onder controle van de aanvaller. Bij het maken van deze verbinding zal de client automatisch proberen in te loggen als de eindgebruiker, waarbij de gebruikersnaam en de Net-NTLMv2 wachtwoordhash bekend worden op de server van de aanvaller. Daarnaast kan de authenticatiepoging overgenomen worden en doorgezet worden naar een legitieme server om namens de gebruiker in te loggen via een zogeheten ‘NTLM relay’-aanval.

Kwetsbare Versies

De kwetsbaarheid bevindt zich in onderstaande Microsoft-producten:

  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Outlook 2013 RT Service Pack 1
  • Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
  • Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
  • Microsoft Outlook 2016 (64-bit edition)

Oplossingen en tijdelijke mitigaties

Microsoft heeft updates voor de kwetsbare producten uitgebracht waarmee deze kwetsbaarheid kan worden verholpen. Organisaties wordt dan ook aangeraden zo spoedig mogelijk deze update uit te rollen naar clients.

Hoewel er geen specifieke workarounds voor deze kwetsbaarheid zijn te implementeren, bestaan er wel een aantal best practices die uitbuiting van deze kwetsbaarheid bemoeilijken en die mogelijk al door de organisatie zijn geïmplementeerd:

  • Sta alleen essentiële verbindingen toe vanuit de infrastructuur naar het internet. Specifiek voor deze kwetsbaarheid is het van belang dat vanuit het netwerk géén verbindingen over 137/udp, 138/udp, 139/tcp en 445/tcp naar (onvertrouwde) externe IP-adressen worden toegestaan. Hou er wel rekening mee dat dit niet zomaar mogelijk is bij gebruik van Azure Files en dat deze poorten mogelijk wél geopend zijn op het moment dat een gebruiker niet verbonden is met het bedrijfsnetwerk. Dergelijke beperkingen moet men daarom ook afdwingen via de lokale (Windows) firewall.
  • Maak gebruik van maatregelen als SMB signing, LDAP signing, LDAP channel binding en HTTP Extended Protection for Authentication (EPA). Deze maatregelen voorkomen een succesvolle ‘NTLM relay’-aanval, maar voorkomen niet dat de Net-NTLMv2 wachtwoordhash uitlekt.
  • Zorg ervoor dat de WebDAV-client op systemen is uitgeschakeld of van systemen is verwijderd. Dit voorkomt dat de uitgaande verbinding over een andere poort dan 445/tcp uitgevoerd kan worden. De WebDAV-client is alleen geïnstalleerd op werkplekken, niet op servers. De WebDAV-client staat standaard uitgeschakeld, maar kan door verschillende omstandigheden automatisch ingeschakeld worden.

Detectie van mogelijk misbruik

Controle van Exchange-items

Aangezien de kwetsbaarheid al (op beperkte schaal) misbruikt werd voordat deze door Microsoft kon worden verholpen, raadt Microsoft aan om een controle uit te voeren op beschikbare Exhange-informatie om te zien of deze kwetsbaarheid al eerder is misbruikt. Deze controle biedt Microsoft aan in de vorm van een Powershell-script dat controleert of mail-, kalender- of taakitems een UNC-pad bevatten. Het script en informatie over hoe dit te gebruiken is, is terug te vinden op Github: https://github.com/microsoft/CSS-Exchange/blob/a4c096e8b6e6eddeba2f42910f165681ed64adf7/docs/Security/CVE-2023-23397.md

Uitgaande 445/tcp-verbindingen

Volgens Microsoft is specifiek het blokkeren van 445/tcp een mitigerende maatregel die kan voorkomen dat NTLM-gegevens worden verstuurd naar externe file shares. Het Pinewood SOC monitoort bij SOC-klanten al enige tijd op toegestane verbindingen naar externe IP-adressen over 445/tcp en meldt eventuele bijzonderheden die hierbij worden ontdekt. Houd er rekening mee dat misbruik mogelijk ook kan plaatsvinden via andere poorten of via bijvoorbeeld thuisnetwerken waardoor deze maatregel niet alle exploitatiepogingen zal helpen detecteren.

Meer informatie

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/

http://aka.ms/smbintercept

https://support.microsoft.com/nl-nl/topic/voorkomen-dat-smb-verkeer-later-wordt-verbonden-en-het-netwerk-binnenkomt-of-verlaat-c0541db7-2244-0dce-18fd-14a3ddeb282a

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Microsoft has released an update for Microsoft Outlook that addresses a serious vulnerability in this email client. The vulnerability allows a malicious actor to steal a user’s authentication credentials – in the form of a Net-NTLMv2 hash – without requiring any user interaction. This means that the vulnerability can be exploited simply by sending a malicious email to a victim.

If successfully exploited, Outlook will establish a connection with an external UNC location under the control of the attacker. During this connection, the client will automatically attempt to log in as the end user, revealing the username and Net-NTLMv2 password hash to the attacker’s server. Additionally, the authentication attempt can be intercepted and forwarded to a legitimate server in a so-called “NTLM relay” attack, allowing the attacker to log in on behalf of the user.

Vulnerable versions

The vulnerability can be exploited in the following Microsoft-products:

  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Outlook 2013 RT Service Pack 1
  • Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
  • Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
  • Microsoft Outlook 2016 (64-bit edition)

Solutions and workarounds

Microsoft has released updates for the vulnerable products that address this vulnerability. Organizations are advised to roll out this update to clients as soon as possible.

Although there are no specific workarounds for this vulnerability, there are several best practices that make exploitation of this vulnerability more difficult and that may already have been implemented by the organization:

  • Allow only essential connections from the infrastructure to the internet. Specifically for this vulnerability, it is important that no connections over 137/udp, 138/udp, 139/tcp, and 445/tcp to (untrusted) external IP addresses are allowed from the network. Note, however, that this may not be feasible when using Azure Files, and these ports may be open when a user is not connected to the corporate network. Such restrictions must therefore also be enforced through the local (Windows) firewall.
  • Use measures such as SMB signing, LDAP signing, LDAP channel binding, and HTTP Extended Protection for Authentication (EPA). These measures prevent a successful “NTLM relay” attack, but do not prevent the Net-NTLMv2 password hash from leaking.
  • Ensure that the WebDAV client is disabled or removed from systems. This prevents the outbound connection from being performed on a port other than 445/tcp. The WebDAV client is only installed on workstations, not on servers. The WebDAV client is disabled by default, but may be automatically enabled due to various circumstances.

Detection of possible misuse

Check the Exchange-Items

As the vulnerability was already being exploited (albeit on a limited scale) before Microsoft could fix it, Microsoft recommends checking available Exchange information to see if this vulnerability has already been exploited. Microsoft offers this verification in the form of a Powershell script that checks whether mail, calendar, or task items contain a UNC path. The script and information on how to use it can be found on Github: https://github.com/microsoft/CSS-Exchange/blob/a4c096e8b6e6eddeba2f42910f165681ed64adf7/docs/Security/CVE-2023-23397.md

Outgoing 445/tcp connections

According to Microsoft, specifically blocking 445/tcp is a mitigating measure that can prevent NTLM data from being sent to external file shares. The Pinewood SOC has been monitoring allowed connections to external IP addresses over 445/tcp for SOC clients for some time and reports any anomalies that are discovered. Keep in mind that exploitation may also occur through other ports or through home networks, so this measure will not detect all exploitation attempts.

More information

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/

http://aka.ms/smbintercept

https://support.microsoft.com/nl-nl/topic/voorkomen-dat-smb-verkeer-later-wordt-verbonden-en-het-netwerk-binnenkomt-of-verlaat-c0541db7-2244-0dce-18fd-14a3ddeb282a

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl