SIKKERHET

Angripere «går under radaren» ved å omgå sikkerhets­fiks til Outlook

Sårbar funksjonalitet ble aldri fjernet helt.

Microsoft Outlook 2016.
Microsoft Outlook 2016. Foto: Microsoft
Harald BrombachHarald BrombachNyhetsleder
6. des. 2019 - 11:51

Sikkerhetsforskere i flere sikkerhetsselskaper har oppdaget at i alle fall flere antatt iranske trusselgrupper, blant annet kjent som APT33 og APT34 (Advanced Persistent Threat) klarer å utnytte en sårbarhet (CVE-2017-11774) som Microsoft egentlig fjernet gjennom en sikkerhetsoppdatering til Outlook 2016 allerede for to år siden.

Sårbarheten er knyttet til det som tidligere var en form for hjemmesider til hver av de viktigste mappene i Outlook, slik som innboks, kalender og kontakter. Det var mulig for brukerne å oppgi URL-en til hver av disse sidene gjennom brukergrensesnittet til Outlook. 

Brukerkonto og passord til en ansatt er kompromittert og misbrukt til phishing, blir det opplyst i avviksrapporten til Datatilsynet.
Les også

Innovasjon Norge hacket fra Afrika

Sikkerhetsoppdateringen deaktiverte denne funksjonaliteten av sikkerhetsårsaker, men det har hele tiden vært mulig å skru på igjen selve hjemmesidene. Microsoft forteller selv hvordan dette gjøres på denne siden.

Det er i stor grad den samme muligheten som nå utnyttes av trusselaktørene. 

Manipulerer registernøkler

I tillegg til Fireeye, som har skrevet en rapport om dette, har TrustedSecs Red Team vært involvert. 

Oddvar Moe i TrustedSec. <i>Foto: TrustedSec</i>
Oddvar Moe i TrustedSec. Foto: TrustedSec

– Det som er sakens kjerne er at vi og APT-aktører reverserer denne patchen med to enkle register-nøkler og benytter dette som en kanal inn på maskiner, skriver Oddvar Moe, senior sikkerhetskonsulent hos TrustedSec i en epost til digi.no.

– Typisk angrep er et dokument som inneholder makrokode som setter disse nøklene. Den ene nøkkelen heter URL, og denne settes da opp til å peke på en ekstern adresse som angriperen kontrollerer. Hver gang Outlook startes, så vil Outlook snakke med den oppgitte adressen og eksekvere koden. Dette angrepet går veldig ofte under radaren på de fleste bedrifter fordi det er jo patchet. Det som er spesielt er at det kun trengs vanlig rettigheter for å sette disse register-nøklene, så det trengs ikke noe form for spesielle tilganger for å utføre angrepet, avslutter Moe. 

Har brukt det i flere år

Til Wired sier hans sjef, TrustedSec-grunnlegger Dave Kennedy, at selskapet har benyttet seg av Outlook Home Page-angrep i flere år i forbindelse med «red team»-engasjementer.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

– Målet vårt er å bruke reelle angrep og motstandernes metoder mot kundene våre, og Home Page-angrep blir i liten grad merket i nesten enhver organisasjon. Når du har et Microsoft Office-produkt som gjør endringer i Office-registeret, er det veldig vanskelig for å forsvarere å fange det opp, siden det ser legitimt ut, sier Kennedy. 

Ifølge Fireeye bruker Outlook Windows-biblioteket ieframe.dll for å gjengi hjemmesidene i Outlook. Fra dette kan angripere trenge ut av Outlooks forsvar og ta kontroll over enhetens operativsystem.

Fireeye oppgir i blogginnlegget hvordan de aktuelle registernøklene kan låse ved hjelp av gruppepolicyer.

Norske myndigheter er allerede på overtid med å innføre EU-krav til cybersikkerhet, påpeker Abelia-advokat Tore Frellumstad.
Les også

Cyberangrep på det grønne skiftet

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvordan lage en stillingsannonse på Tekjobb?
Les mer
Hvordan lage en stillingsannonse på Tekjobb?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra