Blockieren von Office365-Angriffen (CVE-2017-11774) mit MFA

US Cyber ​​Command hat kürzlich auf Twitter eine Sicherheitswarnung bezüglich des Missbrauchs einer Outlook-Schwachstelle veröffentlicht https://twitter.com/CNMF_VirusAlert/status/1146130046127681536.

Diese Schwachstelle wurde ursprünglich von SensePost im Jahr 2017 gefunden und gemeldet – siehe hier: https://sensepost.com/blog/2017/outlook-home-page-another-ruler-vector/ Seitdem ist ein Patch verfügbar, aber die Schwachstelle wird immer noch aktiv missbraucht.

Wie funktioniert es?

Es ist ein interessanter Angriffsvektor, der Remote Code Execution (RCE) bei kompromittierten Office 365-Anmeldeinformationen ermöglicht: Der Exploit nutzt eine Funktion der Outlook-Startseite, die bei jedem Öffnen eines Ordners in Outlook eine Webseite öffnen kann. Warum würden Sie das tun wollen? Ein Beispiel dafür, online zu schweben, ist ein schneller Link zu SharePoint aus der Outlook-Anwendung heraus. Das ist eine Legacy-Funktion, die Microsofts Sicherheitsfix entfernt hat. Dies ist ein Beispiel dafür, warum es gefährlich ist, veraltete Funktionen in Ihrer Software zu behalten – ein Thema für einen anderen Blog. Die Homepage-URL wird in den Ordnereinstellungen gespeichert. Wo werden die Ordnereinstellungen definiert? Wenn der Server von einem lokalen Exchange-Server synchronisiert wird, dann auf diesem Server. Wenn dieser Ordner von Outlook 365 synchronisiert wird, dann von dort. Dieser Angriffsvektor nutzt die Synchronisierung vom Office 365-Server zum eigentlichen Computer aus.

Wie lässt sich dies in einen Remote-Code-Execution-Angriff übersetzen?

Bisher haben wir beschrieben, wie Sie eine Webseite mit Zugriff auf das Office 365-Konto des Benutzers öffnen. Aber wie lässt sich das in einen Remote-Code-Execution-Angriff übersetzen? Da die Webseite von einem Internet Explorer-Frame geladen wird, besteht die erste Vorgehensweise darin, sich mit dem Laden von ActiveX-Steuerelementen zu befassen. Obwohl es Einschränkungen gibt, welche ActiveX-Steuerelemente geladen werden können, haben die Hacker einen Weg gefunden, diese Einschränkungen zu umgehen. Es gibt ein Outlook ActiveX-Steuerelement, das zur Ausführung in der Sandbox auf die Whitelist gesetzt wurde. Dies ist ein Objekt, das den Container darstellt, der den aktuellen Code ausführt, dh die Outlook-Anwendung. Dieses Objekt hat eine Funktion namens „createObject“, die die Erstellung eines beliebigen Objekts ermöglicht, einschließlich des „Shell“-Objekts. Dieses letzte Objekt ermöglicht die Ausführung einer beliebigen Anwendung und ermöglicht somit das Verlassen der Sandbox. Dies dient als Erinnerung daran, dass Sandboxes nicht kugelsicher sind.

Empfehlungen:

Es gibt zwei wichtige Empfehlungen: Stellen Sie zunächst sicher, dass Sie die Systeme aller Ihrer Benutzer patchen. Bereits im Oktober 2017 wurde ein Patch für diese Schwachstelle veröffentlicht. Es gibt keinen Grund, Systeme ungepatcht zu lassen. Darüber hinaus empfehlen wir dringend die Durchsetzung MFA Um diesen und ähnliche Angriffe zu blockieren: Erzwingen von MFA für den Benutzerzugriff auf die Outlook-App und Office 365-Konten stoppen diese Angriffskette an der Wurzel, da Angreifer sich mit den 2 nicht authentifizieren können^nd Faktor und infolgedessen können sie nicht auf das Office 365-Konto zugreifen. Selbst angesichts der Schwachstellen in der Outlook-Anwendung ist der Zugriff auf Office365 erforderlich, um die Schwachstelle auszunutzen und ein Remote-Code-Ausführungsszenario zu ermöglichen.

Yaron Kassner, CTO und Mitgründer, Silverfort

SilverfortCTO und Mitbegründer von Yaron Kassner ist ein Experte für Cybersicherheit und Big-Data-Technologie. Vor der Mitgründung Silverfort, war Yaron als Experte für Big Data bei Cisco tätig. Außerdem entwickelte er bei Microsoft neue Funktionen für Big-Data-Analysen und maschinelle Lernalgorithmen. Davor diente Yaron bei der 8200-Elite-Cybereinheit der israelischen Verteidigungsstreitkräfte, wo er ein angesehenes Forschungs- und Entwicklungsteam leitete, in den Rang eines Hauptmanns aufstieg und eine prestigeträchtige Auszeichnung für herausragende Leistungen erhielt. Yaron hat einen B.Sc. in Mathematik, Summa Cum Laude, ein M.Sc. und Ph.D. in Informatik vom Technion – Israel Institute of Technology.