Zerodaylek in Microsoft Outlook gebruikt voor stelen van wachtwoordhashes
Aanvallers hebben een kritiek zerodaylek in Microsoft Outlook gebruikt voor het stelen van wachtwoordhashes, zonder dat hier enige interactie van gebruikers voor is vereist. Alleen het versturen van een e-mail is voldoende. Het malafide bericht hoeft ook niet in het voorbeeldvenster te worden geladen, zodra de e-mail door de Outlook-client wordt verwerkt is diefstal van de Net-NTLMv2-hash mogelijk. Vervolgens kan de aanvaller deze hash gebruiken om zich bij andere diensten als het slachtoffer te authenticeren.
Het probleem, aangeduid als CVE-2023-23397, is aanwezig in alle ondersteunde versies van Microsoft Outlook voor Windows. Andere versies zijn niet kwetsbaar. Microsoft heeft gisteren beveiligingsupdates voor de kritieke kwetsbaarheid uitgebracht, die op een schaal van 1 tot en met 10 beoordeeld is met een 9.8. Het gaat hier om een "Elevation of Privilege" kwetsbaarheid. Dergelijke beveiligingslekken worden meestal niet als kritiek bestempeld, maar dit is nu wel het geval.
Door de malafide e-mail kan de aanvaller het slachtoffer bij zijn server laten inloggen, waarbij de hash wordt verstuurd, die vervolgens kan worden onderschept. Daarbij maakt het niet uit of het slachtoffer bijvoorbeeld het laden van remote images heeft uitgeschakeld. De kwetsbaarheid werd ontdekt door het Computer Emergency Response Team van Oekraïne, Microsoft Incident Response en Microsoft Threat Intelligence. Volgens Microsoft is de kwetsbaarheid door een vanuit Rusland opererende groep gebruikt. Microsoft heeft een script beschikbaar gemaakt waarmee beheerders kunnen controleren of ze via de kwetsbaarheid zijn aangevallen.
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*
Het probleem is nog veel groter dan we denken omdat dit soort problemen altijd worden ontdekt door externen. In dit geval Google. Microsoft hangt de vuile was niet buiten omdat het iets te verbergen heeft. Daarnaast hebben ze de mensen niet meer. Dit soort bedrijven hebben hun beste tijd gehad. De jeugd wil er niet meer voor werken wegens gebrek aan transparantie en innovatie.
Dat deze failliete software nog steeds wordt gebruikt is een Gotspe.
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*
Jij (Tintin and Milou) is voorbeeld van wiens brood men eet diens woord men spreekt!
https://research.nccgroup.com/2018/05/11/smb-hash-hijacking-user-tracking-in-ms-outlook/
En uitleg hoe je dit doet:
https://www.ired.team/offensive-security/initial-access/netntlmv2-hash-stealing-using-outlook
Het enige verschil dat ik lees is dat de mail nu niet hoeft te worden geopend. "Alleen het versturen van een e-mail is voldoende."
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*
De vraag is of het aan de overkant groener is?
Ik heb in 2008 ook op IT support gezeten, klant had Outlook 2003, zij migreerde vanwege een IBM deal voor hardware ook maar direct naar IBM Lotus Notes/Domino.
Nog nooit zoveel klachten gehad over een email client (Lotus Notes is meer dan dat, maar werd alleen daarvoor gebruikt), na 2 jaar ellende en klachten kwam uiteindelijk een migratie terug naar Exchange 2010 en Outlook 2010.
Alle eindgebruikrs weer blij.
Niet dat Outlook dan technisch het beste programma is, maar voor eindgebruikers blijkbaar heel logisch en herkenbaar, waardoor dit fijner werken is.
Het probleem is nog veel groter dan we denken omdat dit soort problemen altijd worden ontdekt door externen. In dit geval Google. Microsoft hangt de vuile was niet buiten omdat het iets te verbergen heeft. Daarnaast hebben ze de mensen niet meer. Dit soort bedrijven hebben hun beste tijd gehad. De jeugd wil er niet meer voor werken wegens gebrek aan transparantie en innovatie.
Dat deze failliete software nog steeds wordt gebruikt is een Gotspe.
Bedankt weer eens voor je bijdrage waar we niks mee kunnen, waar je mee begint klopt het is al regelmatig gezegd. Je kunt er dus ook voor kiezen om het zelf niet nogmaals te doen.
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*
De vraag is of het aan de overkant groener is?
Ik heb in 2008 ook op IT support gezeten, klant had Outlook 2003, zij migreerde vanwege een IBM deal voor hardware ook maar direct naar IBM Lotus Notes/Domino.
Nog nooit zoveel klachten gehad over een email client (Lotus Notes is meer dan dat, maar werd alleen daarvoor gebruikt), na 2 jaar ellende en klachten kwam uiteindelijk een migratie terug naar Exchange 2010 en Outlook 2010.
Alle eindgebruikrs weer blij.
Niet dat Outlook dan technisch het beste programma is, maar voor eindgebruikers blijkbaar heel logisch en herkenbaar, waardoor dit fijner werken is.
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*
In het verleden blijven hangen zoals het gebruiken van de desktop versie van Outlook?
Precies.
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*
Klopt en als je teveel klaagt bij Q&A wordt je er af geknikkerd. Alleen zijn er wel weining alternatieven voor de public folders en permissies. Ik heb wel gemerkt dat ze iets wat ik daar gemeld had, gefixed hadden, daar was ik wel verbaasd over.
Meestal is het dom gedoe, als "this is by design"
Die strategie daar is ook echt dom, die public folders steeds meer inperken, als ze zo doorgaan leveren ze niets meer dan imap kan.
Ik begrijp ook werkelijk niet waarom iemand dat nog zou gebruiken zeker gezien de kwaliteit van de webapp.
Toen ik nog IT support deed was er werkelijk elke dag wel iets, van kapotte OST's tot niet geindexeerde mails, de horror. *shrugs*
Toen?
Nu nog steeds. :-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.