Kwetsbaarheid Microsoft Outlook kan iedere gebruiker treffen

outlook kwetsbaarheid

Een recent ontdekte kwetsbaarheid in Microsoft Outlook kan een account compromitteren zonder dat je een e-mail hoeft te openen. Zo bescherm je je bedrijfsaccounts.

Microsoft berichtte vorige week voor het eerst over CVE-2023-23397, die meteen ook het label ‘kritiek’ opgekleefd kreeg. Die waarschuwing is niet overdreven, zeggen beveiligingsexperts in koor. Aanvallers kunnen de kwetsbaarheid misbruiken zonder dat het slachtoffer ergens op hoeft te klikken. De aanval steunt dus niet zoals veel klassieke aanvalsmethoden op de onvoorzichtigheid van gebruikers.

Alles wat een aanvaller hoeft te doen, is een e-mail met notities of taken versturen naar het slachtoffer. De inhoud van de mail kan ervoor zorgen dat Outlook automatisch verbinding maakt met een externe UNC-locatie van de aanvaller waarnaar je NTLM 2-verificatie wordt verzonden. De aanvaller kan hierdoor je account overnemen nog voor je op de e-mail geklikt hebt. De kwetsbaarheid treft de Windows-client van Outlook en Outlook-accounts die aan een Exchange-server hangen.

lees ook

Phishing-kit die MFA omzeilt, breed beschikbaar op dark web

Sneeuwbaleffect

De web- en mobiele versies mogen dan wel buiten schot blijven; het aanvalsoppervlakte van deze kwetsbaarheid is bijzonder groot. Beveiligingsexperten vrezen dat in potentie bijna iedere Outlook-gebruiker op een manier wel gevaar kan lopen. CVE-2023-23397 wordt daardoor nu al een van de gevaarlijkste Outlook-kwetsbaarheden tot heden genoemd.

Een andere reden tot bezorgdheid is dat informatie over de kwetsbaarheid publiek beschikbaar is gemaakt door Microsoft. Het is gebruikelijk dat details over zerodays worden gepubliceerd van zodra een patch uitgerold is om het lek te dichten. Zo geeft men organisaties eerst de kans om het lek te dichten. Maar omdat organisaties daar niet altijd snel mee zijn, zitten we nu in de gevaarlijke fase dat ook aanvallers weten hoe ze de kwetsbaarheid moeten uitbuiten.

Hierdoor kan een ‘sneeuwbaleffect’ ontstaan en zouden we in de komende dagen wel eens meerdere aanvallen kunnen zien die de kwetsbaarheid uitbuiten. De impact voor het slachtoffer varieert van diefstal van data, verspreiding van malware of het verstoren van de dagelijkse communicatie en bedrijfsactiviteiten, afhankelijk van de rechten van het gecompromitteerde account.

Hoe je organisatie beschermen

De meest voor de hand liggende oplossing is om de laatst beschikbare updates voor de Outlook-mailclient en Exchange te installeren. Al kan dit de configuratie van het e-mailsysteem verstoren, lezen we bij Dark Reading. Andere beveiligingsacties die je kan ondernemen zijn het blokkeren van TCP 445/SMB-verkeer met een firewall of VPN om de NTLM-tokens tegen te houden en alle actieve gebruikers toevoegen in beveiligde groepen.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.