Verlinkte OLE-Objekt in RTF Mails
Security Forscher des CERT der Carnegie Mellon University haben jüngst heraus gefunden, wie per E-Mail die Authentifizierungsdaten des Empfängers illegal ausgelesen werden können. Dazu haben sie eine E-Mail im Rich Text Format (RTF) erstellt, in dem sie ein OLE-Objekt (Object Linking and Embedding) verlinkt haben. OLE wird verwendet, um aus Inhalten von OLE-fähigen Anwendungen ein komplexeres Dokument erstellen zu können. Die Verlinkungsmöglichkeiten innerhalb von OLE sind umfangreich und können auch auf anderen Netzwerkgeräten liegen, wie beispielsweise auf einem entfernten SMB-Server (Server Message Block). SMB wird verwendet, um im Netzwerk (primär bei Microsoft Windows-Systemen) Dateien und Ordner freizugeben und von anderen Systemen aus darauf zuzugreifen.
Durch Einbindung von OLE-Objekten mittels RTF in E-Mails sind automatisch SMB-Verbindungen vorhanden. Über die SMB-Verbindung können Authentifizierungsdaten des Empfängers ausgelesen werden
Wie die Forscher herausgefunden haben, werden bei einer OLE-Einbindung per SMB weitere Informationen automatisch an den Server übermittelt. Diese bestanden im konkreten Fall neben der internen IP-Adresse und des Host- sowie Domainnamens auch aus den angemeldeten Benutzernamen sowie den SMB Session Key. Innerhalb dessen steckt das Passwort nicht als Klartext, sondern als NTLMv2 Hash (NT LAN Manager). Für diese Hash-Variante gibt es diverse Tools, um je nach Komplexität des Passworts diese innerhalb von wenigen Minuten bis Jahren zu knacken. Bis vor Kurzem wurden beim E-Mail-Client Microsoft Outlook verlinkte OLE-Objekte automatisch nachgeladen. Dies passierte den Forschern auch ohne dass der Nutzer die E-Mail explizit zum Lesen angeklickt hat, um eine automatische Vorabansicht generieren zu können. Die Forscher konnten sogar eine weitere Schwachstelle im SMB-Client ausnutzen und das Windows-System zum Absturz bringen.
Mittlerweile hat Microsoft die automatische OLE-Anzeige in Outlook mit einem Patch (CVE-2018-0950 (10.04.2018) behoben. Anwendern von Microsoft Outlook wird dringend geraten, diese Aktualisierung zeitnah einzuspielen und generell ein sicheres Passwort zu verwenden. Zugriffe mittels externem SMB (sowohl ein- als auch ausgehend) sollten zu jeder Zeit kritisch hinterfragt werden. Klickt der Anwender auf einen (möglicherweise getarnten) SMB-Link, wird weiterhin eine Verbindung aufgebaut.
Betroffene Systeme:
Anwender von Microsoft Outlook mindestens in Version 2007 bis 2016
Empfehlung:
Anwender von Microsoft Outlook sollten in der nächsten Zeit verstärkt auf merkwürdige E-Mails achten und dringend den von Microsoft angebotenen Patch CVE-2018-0950 einspielen, um die Preisgabe der Authentifizierungsdaten nicht automatisiert durchführen zu lassen. Darüber hinaus sollten Links in E-Mails genau geprüft werden, bevor sie angeklickt werden. Weiterhin sollten sehr sichere Passwörter verwendet werden, falls sie zum Einsatz kommen. Je nach Unternehmen kann auch das NTLM Single Sign-on (SSO) für externe Ressourcen blockiert werden, wie im Microsoft Security Advisory ADV170014 beschrieben.
Die Zugriffe von internen Systemen zu SMB-Freigaben aus dem Internet sollten nicht ohne guten Grund erfolgen und prinzipiell verboten sein. Falls diese doch notwendig sind, sollte, zumindest bis zur Bereitstellung und dem Einspielen der Sicherheitspatches, der Zugriff ins Internet über das SMB-Protokoll in der Firewall blockiert werden.
Erkennung mit der Advanced Security Analytics Platform von finally safe
Anwender können mit der Lösung überprüfen, ob es Zugriffe auf ihre Systeme mittels des SMB-Protokolls gibt oder in der Vergangenheit gab oder ob Sie Ziel einer Spam-/Phishing-Welle sind oder jüngst waren. Diese Informationen sind abhängig von den eingesetzten Modulen zu finden:
- Im Echtzeitmonitoring wurden Sie bereits live bei möglichen Spam- oder Phishing-Wellen gewarnt, die vermehrt fragwürdige Dateianhänge beinhalteten.
- Haben Sie den Management-Report abonniert, haben wir bereits mögliche Zugriffe Ihrer IT-Systeme über das SMB-Protokoll analysiert und aufgelistet.
- Falls Sie wöchentlich einen technischen Report erhalten, stehen die SMB-Zugriffe in der Verbindungsübersicht.
- Falls Sie den Network-Compliance-Verifier aktiviert haben, können Sie im Webportal gezielt die SMB-Zugriffe finden und dabei direkt die betroffenen IP-Adressen Ihrer Clients ermitteln.
- Im Expertensystem können Sie sich unter Zuhilfenahme der bekannten SMB-Ports anzeigen lassen, ob Sie solchen Netzwerkverkehr haben oder hatten.