Twee Belgische veiligheidsonderzoekers hebben bij toeval een kwetsbaarheid in de Outlook-app van Microsoft ontdekt. Het lek zorgt ervoor dat via Outlook voor Android een e-mailthread kan worden bemachtigd.
Tom Wyckhuys en Sander Vanrapenbusch, beiden werkzaam bij The Security Factory, ontdekten het lek (CVE-2019-1105) afgelopen november, maar besloten hun bevinding pas bekend te maken nadat Microsoft de Outlook-app had voorzien van een update. “Microsoft heeft na twee maanden het probleem erkend en heeft vervolgens zes maanden gewerkt aan een oplossing, die is nu uitgestuurd”, vertellen de onderzoekers aan Data News.
Phishing
De veiligheidsonderzoekers waren een payload (stukken code, nvdr.) heen en weer aan het sturen. Ze merkten op dat de mails op een smartphone abnormaal werden weergegeven, waarna ze de reden daarachter dieper hebben onderzocht.
“Al snel werd duidelijk dat het specifiek om de Outlook-app voor Android ging en zagen we dat je er netwerkverkeer mee kon genereren en uiteindelijk e-mails mee kon uitlezen. De kwetsbaarheid is niet enkel te misbruiken om e-mailthreads af te luisteren, ze kan ook worden ingezet voor phishing. Het slachtoffer hoeft zelfs nergens op te klikken, alles gebeurt zodra de mail wordt geopend”, zegt Vanrapenbusch.
Het gaat om zogenaamde cross-site scripting (XSS). Hierbij wordt een speciale code in een mail, zoals gestuurd door de aanvaller, door de Outlook-app geïnterpreteerd als een uit te voeren handeling. Dat zorgt vervolgens voor een soort tunnel, waardoor de nadien doorgestuurde mail ook bij de aanvaller terechtkomt.
Update via Play Store
Microsoft vermeldt Wyckhuys en Vanrapenbusch als ontdekkers van de kwetsbaarheid. Daarnaast maakt de softwaregigant ook melding van drie andere namen, waaronder onderzoekers van CyberArk en F5 Networks. Vermoedelijk hebben deze partijen hetzelfde probleem ontdekt tussen de eerste melding en de oplossing van Microsoft.
Het oplossen van de kwetsbaarheid volstaat met het updaten van de Outlook-app voor Android. Iets wat eenvoudig kan worden gerealiseerd door via de Play Store van links naar rechts te swipen, daar ‘Mijn apps en games’ aan te tikken om vervolgens de Outlook-app te updaten.
Gerelateerd: Tweefactor-authenticatie op iOS voortaan mogelijk met Android-telefoon