Microsoft hat kürzlich eine schwerwiegende Sicherheitslücke in verschiedenen Office-Versionen offengelegt, die es Angreifern ermöglichen könnte, NTLM-Hashes von Benutzern zu stehlen. Die als CVE-2024-38200 katalogisierte Schwachstelle betrifft sowohl 32- als auch 64-Bit-Versionen von Office 2016, Office 2019, Office LTSC 2021 und Microsoft 365 Apps for Enterprise.
Detaillierte Analyse der Sicherheitslücke
Die Schwachstelle wird als Informationsoffenlegungsproblem klassifiziert, das es nicht autorisierten Akteuren ermöglicht, auf geschützte Daten zuzugreifen. Obwohl Microsoft die Wahrscheinlichkeit einer Ausnutzung als gering einstuft, warnt das MITRE-Institut davor, dass Schwachstellen dieser Art in der Regel ein hohes Exploitationspotenzial aufweisen.
Ein erfolgreicher Angriff könnte wie folgt ablaufen: Der Angreifer erstellt eine speziell präparierte Webseite oder kompromittiert eine bestehende Seite, die benutzergenerierte Inhalte akzeptiert. Anschließend wird das Opfer durch Social Engineering dazu verleitet, einen Link zu öffnen und eine manipulierte Datei herunterzuladen, die die Schwachstelle ausnutzt.
Auswirkungen und potenzielle Gefahren
Die größte Gefahr besteht in der möglichen Offenlegung von NTLM-Hashes. Angreifer könnten die Schwachstelle ausnutzen, um eine NTLM-Verbindung zu erzwingen, beispielsweise zu einer SMB-Freigabe auf einem von ihnen kontrollierten Server. In solchen Fällen überträgt Windows die NTLM-Hashes des Benutzers, einschließlich des gehashten Passworts, was Angreifern den Diebstahl sensibler Authentifizierungsdaten ermöglicht.
Schutzmaßnahmen und Empfehlungen
Microsoft arbeitet bereits an Patches zur Behebung dieser Sicherheitslücke, hat jedoch noch kein genaues Veröffentlichungsdatum bekannt gegeben. In der Zwischenzeit können Benutzer auf einen temporären Fix zurückgreifen, der im Rahmen des Feature Flighting vom 30. Juli 2024 veröffentlicht wurde. Es wird dringend empfohlen, auf die Version vom 13. August 2024 zu aktualisieren, um den vollständigen Schutz zu erhalten.
Als zusätzliche Schutzmaßnahme empfiehlt Microsoft, ausgehenden NTLM-Verkehr zu Remote-Servern zu blockieren. Es ist jedoch zu beachten, dass dies möglicherweise den legitimen Zugriff auf Remote-Server beeinträchtigen kann, die NTLM-Authentifizierung verwenden. IT-Administratoren sollten die Auswirkungen dieser Maßnahme sorgfältig abwägen und gegebenenfalls alternative Authentifizierungsmethoden in Betracht ziehen.
Diese Sicherheitslücke unterstreicht die Wichtigkeit regelmäßiger Software-Updates und eines mehrschichtigen Sicherheitsansatzes. Unternehmen und Einzelpersonen sollten ihre Cybersicherheitsstrategien überprüfen, um sicherzustellen, dass sie gegen solche Bedrohungen gewappnet sind. Dazu gehören unter anderem die Implementierung starker Authentifizierungsmethoden, die Schulung von Mitarbeitern in Bezug auf Phishing-Angriffe und die Verwendung aktueller Sicherheitssoftware. Nur durch kontinuierliche Wachsamkeit und proaktive Maßnahmen können wir uns vor den sich ständig weiterentwickelnden Cyberbedrohungen schützen.