CVE-2023-23397 Hashes to hashes

-

Met CVE-2023-23397 kan een aanvaller een e-mail versturen met een schadelijke payload, bijv. een UNC-locatie onder controle van de aanvaller, die ervoor zorgt dat de Outlook-client van het slachtoffer automatisch verbinding maakt om daar de wachtwoordhash van de Net-NTLMv2-gebruiker te plaatsen. Wachtwoordhashing gebruikt iedereen dagelijks; Bij het aanmelden op een systeem wordt je ingegeven password 'gehashed' en vergeleken met de hash van je password dat het systeem al heeft. Als dat matched krijg je toegang tot het systeem. En daarna wordt deze hash gebruikt voor authorisatie van handelingen, zodat je niet steeds je wachtwoord hoeft op te geven. Als iemand die hash heeft kan hij deze dus gebruiken om oneigenlijk toegang te krijgen tot systemen als de gebruiker waar de hash van is.

Met wachtwoordhashing verandert je wachtwoord (of andere gegevens) in een korte reeks letters en/of cijfers met behulp van een versleutelingsalgoritme, bijv. MD5 of SHA256. Normaliter worden deze hashes in files gestopt.

Het password "helloworld" wordt met MD5 deze hash: fc5e038d38a57032085441e7fe7010b0

Het password "hell0world" wordt met MD5 deze hash: 0a123b92f789055b946659e816834465

Het gevaarlijke aan dit lek, is dat er geen enige interactie van gebruikers voor is vereist. Alleen het versturen van een e-mail is voldoende. Het malafide bericht hoeft ook niet in het voorbeeldvenster te worden geladen, zodra de e-mail door de Outlook-client wordt verwerkt is diefstal van de Net-NTLMv2-hash mogelijk. Vervolgens kan de aanvaller deze hash gebruiken om zich bij andere diensten als het slachtoffer te authenticeren.

Het probleem, aangeduid als CVE-2023-23397, is aanwezig in alle ondersteunde versies van Microsoft Outlook voor Windows. Andere versies zijn niet kwetsbaar. Microsoft heeft beveiligingsupdates voor de kritieke kwetsbaarheid uitgebracht, die op een schaal van 1 tot en met 10 beoordeeld is met een 9.8. Het gaat hier om een "Elevation of Privilege" kwetsbaarheid. Dergelijke beveiligingslekken worden meestal niet als kritiek bestempeld, maar dit is nu wel het geval.

Door de malafide e-mail kan de aanvaller het slachtoffer bij zijn server laten inloggen, waarbij de hash wordt verstuurd, die vervolgens kan worden onderschept. Daarbij maakt het niet uit of het slachtoffer bijvoorbeeld het laden van remote images heeft uitgeschakeld. De kwetsbaarheid werd ontdekt door het Computer Emergency Response Team van Oekraïne, Microsoft Incident Response en Microsoft Threat Intelligence. Volgens Microsoft is de kwetsbaarheid door een vanuit Rusland opererende groep gebruikt. Microsoft heeft een script beschikbaar gemaakt waarmee beheerders kunnen controleren of ze via de kwetsbaarheid zijn aangevallen.

De te ondernemen akties zijn:

1. Mailflow naar binnen tijdelijk onderbreken.

2. Outlook sluiten en overschakelen op webmail.

3. Outlook patchen via geleverde patch, middels Windows Updates, handmatig of bijv. via een start-up script.

4. Firewall aanpassen, voor zover nog niet gedaan, om UNC paden naar buiten en binnen tegen te gaan én het SMB protocol dat hiervoor gebruikt wordt, naar buiten te blokkeren.

4. Dekking van de patch controleren.

5. Mailflow naar binnen weer herstellen. 

6. Mailserver scannen met een door Microsoft geleverd script CVE-2023-23397.ps1

Script prerequisites

Het script moet gedraaid worden op een mailserver zelf. Het praat tegen Exchange Web Services(EWS) om user mailboxen te controleren of er mails inzitten met een UNC pad erin. Een UNC pad ziet eruit als \\hostname\sharename\filename een internationale standaard. Het is op zich niet vreemd dat er een UNC pad in een e-mail staat, het komt alleen niet vaak voor. 

Eerst dient er een role group gemaakt te worden zodat het account waarmee je het script gaat draaien de ApplicationImpersonation role krijgt.

New-RoleGroup -Name "CVE-2023-23397-Script" -Roles "ApplicationImpersonation" -Description "Permission to run the CVE-2023-23397 script"

Aan deze role group moet het account dat het script draait worden toegevoegd. Daarnaast moet het account dat het script draait Global Admin zijn én Exchange Organizational Management role hebben.

Script draaien

Start een Powershell shell als administrator, navigeer naar de folder waar het script staat. Vervolgens moet je de volgende oneliner gebruiken. 

Get-Mailbox -ResultSize Unlimited | .\CVE-2023-23397.ps1 -Environment Onprem -EWSServerURL https://127.0.0.1/EWS/Exchange.asmx -IgnoreCertificateMismatch

De "Get-mailbox" haalt alle user mailboxes op van de organisatie. Daarna worden deze aan het script gegeven. Deze heeft als parameters staan dat het om "onprem" Exchange gaat. Om gedoe met certificaten te voorkomen geef je het EWSServerURL mee als https://127.0.0.1/EWS/Exchange.asmx met de parameter "-IgnoreCertificateMismatch"

Vervolgens begint het script alle user mailboxen te scannen, dit duurt best lang want het gaat stuk voor stuk. De output naar het scherm laat dit zien. Het eindresultaat is een CSV bestand met mails waarin een UNC pad gebruikt is. Dit wil dus niet zeggen dat er iets kwalijks binnen is gekomen, alleen dat dit nagekeken dient te worden.

Zo. Op naar het volgende lek.


Reacties

Een reactie posten

Populaire posts van deze blog

Breaking: Tailwind Traders acquiers Northwind!

-
Afbeelding
  Ik ben donderdag 21 maart 2019 naar Microsoft Ignite On Tour geweest in de RAI, en ik kan dat iedereen aanraden. Ik heb hieronder wat tips over de voorbereiding en de ervaring zelf(cursief), met verwijzingen naar interessante technologie. Even voor de achtergrond; Ik ben als systeembeheerder veel bezig met SQL. 1.      Tip: Schrijf je op tijd in. 2.      Tip: Verken de site met Ignite sessies. 3.      Tip: Meld op tijd dat je naar deze beurs wilt via de  congress app . 4.      Tip: Motiveer je verzoek. Op het moment dat ik een mailtje over Ignite kreeg heb ik mij ingeschreven. Op de site heb ik vervolgens een “ Learning Path ” genaamd " Migrating applications to the Cloud " gevonden dat mij interessant leek. Het is een set van 5 verwante sessies met als achtergrond de overname van Northwind door TailWind Traders, twee fictieve Microsoft bedrijven. Het scenario van TailWind Traders en Northwind voorziet in een consolidatie van de IT afdelingen van on premise naar d
Meer lezen

Do it your way

-
Afbeelding
  Ik was in de jaren '90 gek van house, vooral de club versie. Mood II Swing was een amerikaans producer duo uit New York, bestaande uit John Ciafone en Lem Springsteen. Ze bestonden van 1992 tot 2021, waren vooral succesvol in de jaren '90 met club hits op hun naam. Naast "Ohh!" vind ik "Do it your way" uit 1996 nog steeds heel goed, instant klassiekers. De beats van John Ciafone, de basloop van Vince Montana en die aparte vrouwelijke stem die de vocals doet, praat op een redelijke, maar hele muzikale toon. Een hele soepele relaxte plaat. De stem is van Barbara Ann Teer (June 18, 1937 – July 21, 2008). In 1968 richtte zij het National Black Theater op in Harlem, New York. De vocals zijn van een spoken word opname genaamd "Barbara Ann Teer – Black Theater" uit 1973 waarin zij uitlegd waarom dat nodig was in ongeveer 20 minuten. De relevante stukken zijn deze: "I want to do it the way I wanna do it, I want to determine my own destiny, I wanna
Meer lezen

Pension tension

-
Afbeelding
“Ik ga eerder stoppen met werken om het nieuwe pensioenstelsel te begrijpen” De nieuwe wet "Toekomst Pensioenen" komt er aan. Wat is de impact hiervan eigenlijk, voor mij als pensioendeelnemer zonder dat ik mij er ooit in verdiept hebt. Een verwarrende reis. Het begin In 1952 legt het kabinet spelregels vast voor pensioenfondsen in de Pensioen- en Spaarfondsenwet. Met die wet in de hand tuigen vakbeweging en werkgevers pensioenregelingen op voor bedrijfstakken. Voor ondernemingen die niet bij zo’n bedrijfstak horen, komen er ondernemingspensioenfondsen. Werkgevers en werknemers betalen ieder pensioenpremie. Dat geldt als uitgesteld loon.  De pensioenen komen boven op het basispensioen van de overheid, de AOW. Die bestaat sinds 1956. In 2006 is de pensioenwet uit 1952 aangescherpt en unaniem aangenomen door de Tweede Kamer en daarna de Eerste Kamer. Een fundamentele aanscherping zit in een detail: de rente. Tot 2006 mocht die zogenoemde rekenrente maximaal 4 procent zijn, sind
Meer lezen