Een kritiek beveiligingslek in Microsoft Outlook is zeker sinds april 2022 misbruikt. Kwaadwillenden kunnen via deze kwetsbaarheid de wachtwoordhash van gebruikers stelen zonder dat daar enige interactie van de slachtoffers voor nodig is.
Zeroday-lek
De kwetsbaarheid, CVE-2023-23397, is aanwezig in alle ondersteunde versies van Microsoft Outlook voor Windows. Microsoft bracht op 14 maart van dit jaar een beveiligingsupdate uit voor het zeroday-lek. Omdat de aanvallen weinig sporen achterlaten, heeft Microsoft meer informatie gegeven waarmee organisaties kunnen controleren of ze slachtoffer zijn geworden.
Net-NTLMv2-hash
Op een schaal van 1 tot en met 10 is het beveiligingslek beoordeeld met een 9,8. Het betreft een Elevation of Privilege-kwetsbaarheid. Doorgaans zijn zulke kwetsbaarheden niet kritiek maar dit is bij CVE-2023-23397 wel aan de orde. Door een malafide e-mail te verzenden, kan een kwaadwillende het slachtoffer op zijn server laten inloggen waarbij zijn Net-NTLMv2-hash wordt verzonden.
Incident Response
De aanvaller kan deze hash gebruiken om zich elders als het slachtoffer te authenticeren. Deze aanval is mogelijk zodra het slachtoffer Outlook heeft gestart. Het maakt daarbij niet uit of bijvoorbeeld het laden van remote images is uitgezet. Om organisaties te helpen zich te beschermen tegen misbruik van deze kwetsbaarheid heeft Microsoft een Incident Response gepubliceerd.
Klik hier voor het Incident Response van Microsoft.