Er zijn technische details naar voren gekomen over twee inmiddels gerepareerde beveiligingsfouten in Microsoft Windows die door bedreigingsactoren aan elkaar kunnen worden gekoppeld om op afstand code uit te voeren op de e-mailservice van Outlook, zonder enige gebruikersinteractie.
“Een aanvaller op internet kan de kwetsbaarheden aan elkaar koppelen om een volledige, zero-click remote code executie (RCE) exploit tegen Outlook-clients te creëren”, zegt Akamai-beveiligingsonderzoeker Ben Barnea, die de kwetsbaarheden ontdekte, in een tweedelig rapport. met The HackerNews.
De beveiligingsproblemen die respectievelijk in augustus en oktober 2023 door Microsoft zijn verholpen, worden hieronder vermeld:
- CVE-2023-35384 (CVSS-score: 5,4) – Beveiligingsfunctie van Windows HTML Platforms omzeilt kwetsbaarheid
- CVE-2023-36710 (CVSS-score: 7,8) – Beveiligingslek bij het uitvoeren van externe code in Windows Media Foundation Core
CVE-2023-35384 is door Akamai beschreven als een omzeiling van een kritieke beveiligingsfout die Microsoft in maart 2023 heeft gepatcht. De fout, die wordt bijgehouden als CVE-2023-23397 (CVSS-score: 9,8), heeft betrekking op een geval van escalatie van bevoegdheden die mogelijk resulteren in de diefstal van NTLM-referenties en stellen een aanvaller in staat een relay-aanval uit te voeren.
Eerder deze maand onthulden Microsoft, Proofpoint en Palo Alto Networks Unit 42 dat een Russische bedreigingsacteur, bekend als APT29, de bug actief heeft bewapend om ongeautoriseerde toegang te krijgen tot de accounts van slachtoffers op Exchange-servers.
Het is vermeldenswaard dat CVE-2023-35384 ook de tweede patch-bypass is na CVE-2023-29324, die ook door Barnea werd ontdekt en vervolgens door Redmond werd hersteld als onderdeel van de beveiligingsupdates van mei 2023.
“We hebben nog een omzeiling van de oorspronkelijke Outlook-kwetsbaarheid gevonden – een omzeiling die ons opnieuw in staat stelde de client te dwingen verbinding te maken met een door een aanvaller bestuurde server en een kwaadaardig geluidsbestand te downloaden”, aldus Barnea.
CVE-2023-35384 is, net als CVE-2023-29324, gebaseerd op het parseren van een pad door de MapUrlToZone-functie die kan worden misbruikt door een e-mail met een schadelijk bestand of een URL naar een Outlook-client te sturen.
“Er bestaat een beveiligingsfunctie die een kwetsbaarheid omzeilt wanneer het MSHTML-platform er niet in slaagt de juiste beveiligingszone van verzoeken voor specifieke URL’s te valideren. Hierdoor kan een aanvaller ervoor zorgen dat een gebruiker toegang krijgt tot een URL in een minder beperkte internetbeveiligingszone dan de bedoeling was”, aldus Microsoft. in zijn advies.
Daarbij kan de kwetsbaarheid niet alleen worden gebruikt om NTLM-referenties te lekken, maar kan deze ook worden gekoppeld aan de geluidsparseringsfout (CVE-2023-36710) om een aangepast geluidsbestand te downloaden dat, wanneer het automatisch wordt afgespeeld met de herinneringsgeluidsfunctie van Outlook, leiden tot een zero-click-code-uitvoering op de machine van het slachtoffer.
CVE-2023-36710 heeft invloed op de component Audio Compression Manager (ACM), een verouderd Windows-multimediaframework dat wordt gebruikt om audiocodecs te beheren, en is het resultaat van een kwetsbaarheid voor integeroverloop die optreedt bij het afspelen van een WAV-bestand.
“Uiteindelijk zijn we erin geslaagd de kwetsbaarheid te activeren met behulp van de IMA ADP-codec”, legt Barnea uit. “De bestandsgrootte is ongeveer 1,8 GB. Door de wiskundige limietbewerking op de berekening uit te voeren, kunnen we concluderen dat de kleinst mogelijke bestandsgrootte met IMA ADP-codec 1 GB is.”
Om de risico’s te beperken, wordt organisaties aangeraden microsegmentatie te gebruiken om uitgaande SMB-verbindingen met externe openbare IP-adressen te blokkeren. Daarnaast werd ook geadviseerd om NTLM uit te schakelen of gebruikers toe te voegen aan de beveiligingsgroep Beschermde gebruikers, waardoor het gebruik van NTLM als authenticatiemechanisme wordt voorkomen.
