Update met verdere informatie van Microsoft.​

Microsoft heeft een kwetsbaarheid met hoge ernst onthuld die Office 2016 treft en NTLM-hashes kan blootstellen aan een externe aanvaller.

Deze beveiligingsfout, die wordt gevolgd als CVE-2024-38200, wordt veroorzaakt door een zwakheid in de informatie-openbaarmaking waardoor onbevoegde actoren toegang krijgen tot beschermde informatie.

De zero-day treft meerdere 32-bit en 64-bit Office-versies, waaronder Office 2016, Office 2019, Office LTSC 2021 en Microsoft 365 Apps for Enterprise.

Hoewel de exploitability-beoordeling van Microsoft zegt dat uitbuiting van CVE-2024-38200 minder waarschijnlijk is, heeft MITRE de waarschijnlijkheid van exploitatie voor dit type zwakheid als zeer waarschijnlijk gemarkeerd.

“In een webgebaseerd aanvals-scenario zou een aanvaller een website kunnen hosten (of gebruik maken van een gecompromitteerde website die door gebruikers geleverde inhoud accepteert of host) die een speciaal vervaardigd bestand bevat dat is ontworpen om de kwetsbaarheid te misbruiken,” legt het advies van Microsoft uit.

“Een aanvaller zou echter geen manier hebben om de gebruiker te dwingen de website te bezoeken. In plaats daarvan zou een aanvaller de gebruiker moeten overtuigen om op een link te klikken, meestal via een lokmiddel in een e-mail of Instant Messenger-bericht, en dan de gebruiker overtuigen om het speciaal vervaardigde bestand te openen.”

Het bedrijf werkt aan beveiligingsupdates om dit zero-day probleem aan te pakken, maar heeft nog geen releasedatum aangekondigd.

Sinds publicatie van dit artikel heeft Microsoft verdere informatie over het CVE-2024-38200 probleem gedeeld in het advies, waarin staat dat zij op 30/7/2024 een oplossing via Feature Flighting hebben uitgebracht.

“Nee, we hebben een alternatieve oplossing voor dit probleem geïdentificeerd die we op 30/7/2024 via Feature Flighting hebben ingeschakeld,” luidt het bijgewerkte CVE-2024-38200 advies.

“Klanten zijn al beschermd op alle ondersteunde versies van Microsoft Office en Microsoft 365. Klanten moeten nog steeds de updates van 13 augustus 2024 installeren voor de definitieve versie van de oplossing.”

Het advies stelt verder dat dit probleem kan worden gemitigeerd door uitgaande NTLM-verkeer naar externe servers te blokkeren.

Microsoft zegt dat je uitgaand NTLM-verkeer kunt blokkeren met de volgende drie methoden:

Microsoft merkt op dat het gebruik van een van deze mitigaties toegang tot legitieme externe servers die afhankelijk zijn van NTLM-authenticatie kan verhinderen.

Hoewel Microsoft geen verdere details over de kwetsbaarheid deelde, geeft deze richtlijn aan dat de fout kan worden gebruikt om een uitgaande NTLM-verbinding af te dwingen, zoals naar een SMB-share op de server van een aanvaller.

Wanneer dit gebeurt, stuurt Windows de NTLM-hashes van de gebruiker, inclusief hun gehashte wachtwoord, die de aanvaller vervolgens kan stelen.

Zoals herhaaldelijk in het verleden is aangetoond, kunnen deze hashes worden gekraakt, waardoor dreigingsactoren toegang kunnen krijgen tot inlognamen en platte wachtwoorden.

NTLM-hashes kunnen ook worden gebruikt in NTLM Relay Attacks, zoals eerder gezien bij de ShadowCoerce, DFSCoerce, PetitPotam en RemotePotato0-aanvallen, om toegang te krijgen tot andere resources op een netwerk.

Meer details worden gedeeld op Defcon

Microsoft schreef de ontdekking van de fouten toe aan Jim Rush, beveiligingsadviseur bij PrivSec Consulting, en Metin Yunus Kandemir, lid van het Synack Red Team.

Peter Jakowetz, Managing Director van PrivSec, vertelde BleepingComputer dat Rush meer informatie over deze kwetsbaarheid zal onthullen in zijn aanstaande “NTLM – The last ride” Defcon-presentatie.

“Er zal een diepgaande analyse zijn van verschillende nieuwe bugs die we aan Microsoft hebben gemeld (inclusief het omzeilen van een oplossing voor een bestaande CVE), enkele interessante en nuttige technieken, het combineren van technieken uit meerdere bugklassen resulterend in enkele onverwachte ontdekkingen en enkele absoluut verbijsterende bugs,” legt Rush uit.

“We zullen ook enkele standaarden blootleggen die gewoon niet zouden moeten bestaan in verstandige bibliotheken of applicaties, evenals enkele opvallende hiaten in sommige van de Microsoft NTLM-gerelateerde beveiligingscontroles.”

Een woordvoerder van Synack was niet direct beschikbaar voor commentaar toen BleepingComputer eerder vandaag contact opnam voor meer details over de CVE-2024-38200 kwetsbaarheid.

Microsoft werkt ook aan het patchen van zero-day fouten die kunnen worden uitgebuit om up-to-date Windows-systemen te “unpatchen” en oude kwetsbaarheden opnieuw te introduceren.

Het bedrijf zei ook eerder deze week dat het overweegt om een Windows Smart App Control, SmartScreen bypass te patchen die sinds 2018 wordt geëxploiteerd.

Update 10/8/24: Toegevoegde aanvullende informatie van Microsoft over het mitigeren van het probleem.