Kritiek Outlook-gat, al gebruikt door Russische aanvallers

Een groep aanvallers die werkt vanuit Rusland benut de kwetsbaarheid namelijk al in de praktijk, meldt Microsoft in de blogpost over dit gloednieuwe Outlook-gat. De kwetsbaarheid is bij het Amerikaanse softwarebedrijf gemeld door het CERT (Computer Emergency Response Team) van Oekraïne, dat sinds februari vorig jaar wordt aangevallen door Rusland.

Gerichte aanvallen in Europa

Door gezamenlijke inspanning - van het Microsoft Incident Response-team, de Microsoft Threat Intelligence-community en CERT-UA - is de softwareproducent zich bewust van "beperkte, gerichte aanvallen". Microsoft-klanten die hierdoor zijn geraakt, worden actief door de leverancier ingelicht. Het gaat daarbij om organisaties in de overheidssector, maar ook in transport, energie en de militaire sector. Deze hierbij actief bestookte doelwitten bevinden zich in Europa.

De gebruikte kwetsbaarheid (CVE-2023-23397) is kritiek en heeft een score van 9,8 op de CVSS-schaal die loopt tot 10. Dit gat geeft aanvallers de mogelijkheid om eigen code op afstand uit te voeren op computers van slachtoffers. Gebruikers van mailclient Outlook hoeven daarvoor een mail met de exploitcode voor deze zeroday niet te openen of anderszins 'aan te raken'. Zelfs het previewvenster van Outlook zelf is niet nodig om de exploit z'n kwaadaardige werk te laten doen.

Exchange-script voor controle

Zodra een exploitmail binnenkomt en is verwerkt door Outlook kan de wachtwoordhash (Net-NTLMv2) van de gebruiker worden gestolen. Die hash kan dan benut worden om via een NTLM Relay-aanval elders in te loggen als die aangevallen gebruiker. Naast een patch voor Outlook biedt Microsoft ook een script waarmee beheerders van mailserver Exchange kunnen nagaan of een aanval via deze kritieke kwetsbaarheid al heeft plaatsgevonden in hun IT-omgeving.