Microsoft waarschuwt voor Office-lek dat aanvaller NTLM-hashes laat stelen

[Captain Kirk]

Microsoft waarschuwt voor een spoofing-kwetsbaarheid in Microsoft Office 2016, 2019, LTSC 2021 en Microsoft 365 Apps for Enterprise waardoor een aanvaller NTLM-hashes van gebruikers kan stelen. Een beveiligingsupdate wordt morgen 13 augustus beschikbaar gemaakt. In de tussentijd heeft Microsoft voor ondersteunde Office-versies een 'alternative fix' uitgerold. Volgens het techbedrijf zijn klanten van alle ondersteunde versies van Microsoft Office en Microsoft 365 beschermd, maar wordt het installeren van de update morgen aangeraden. Daarnaast heeft Microsoft advies gegeven om het stelen van NTLM-hashes tegen te gaan.

De kwetsbaarheid, aangeduid als CVE-2024-38200, werd gerapporteerd door Jim Rush van PrivSec Consulting en Metin Yunus Kandemir van Synack. Rush gaf dit weekend tijdens de Defcon-conferentie Las Vegas meer details over het beveiligingslek. Microsoft stelt dat misbruik alleen mogelijk is als gebruikers een malafide bestand openen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.5.

Kwetsbaarheden in Office zijn in het verleden vaker gebruikt voor het stelen van NTLM-hashes. Via het malafide document kan een aanvaller het slachtoffer op zijn server laten inloggen, waarbij de hash wordt verstuurd, die vervolgens kan worden onderschept. De aanvaller kan daarna proberen de NTLM-hash te kraken of die te 'relayen' en zich zo als het slachtoffer bij andere diensten te authenticeren.

 

bron: https://www.security.nl