De juiste aandacht voor uw informatiebeveiliging™

Outlook zet de deur open voor de buitenwacht

Outlook zet de deur open voor de buitenwacht

Deze week is een nieuwe, serieuze kwetsbaarheid bekendgemaakt die alle MS Outlook gebruikers ter wereld treft. Outlook is, zeker in de zakelijke wereld, tot het standaard communicatie- en agendasysteem geworden, mede dankzij de integratie met de MS Office-applicaties en toepassingen van derden. De nieuwe gevaren komen uit een onverwachte hoek, OLE (Object Linking and Embedding), de mogelijkheid van Microsoft om bestanden en toepassingen aan elkaar te koppelen. Eerdere OLE-bedreiging maakten hier al gebruik van in Office- en RTF-bestanden, maar niet eerder was bekend dat MS Outlook ook OLE ondersteunt en dit veroorzaakt een groot risico.

TNEF, een Microsoft e-mailbestandsformaat dat voor zover bekend alleen door Outlook wordt gebruikt, is in staat om via de OLE-functionaliteit in Outlook externe bestanden of toepassingen te openen – simpel alleen door een ‘besmet’ bericht dat is opgemaakt in TNEF-formaat te openen. Het enige dat een aanvaller nodig heeft is het e-mailadres van een persoon. Deze gebruiker hoeft alleen maar het bericht te openen en ziet of merkt hier verder niets van. De dreiging kan heel eenvoudig een Flash-exploit zijn met de standaard ActiveX Flash-player in Windows 7/8/10 of een andere variant.

Als voorbeeld ontwierpen de ontdekkers van deze dreiging die zij BadWinmail.dat noemen de mogelijkheid om de Windows calculator te openen bij het openen van een bericht. Sterker nog, de calculator start al bij het opstarten van Outlook, zonder dat het bericht is gelezen door de gebruiker, omdat Outlook alle ingekomen berichten scant bij het starten.

Meer details en achtergrond informatie over BadWinmail.dat is beschikbaar in pdf.

Bekijk hier een Youtube film met een proof-of-concept van de hack: BadWinmail Demo

Op aangeven van de ontdekkers van BadWinmail.dat heeft Microsoft onlangs Security Bulletin MS15-131 (CVE-2015-6172) uitgebracht met een oplossing voor dit probleem. Er zijn tevens worksarounds beschikbaar voor gebruikers. Verstandig is om winmail.dat (of *.dat) op de firewall of antispam oplossing te blokkeren. Neem contact op met Secwatch voor uw eigen zekerheid en die van uw Outlook-gebruikers.

“Door het SECWATCH-klantenrapport kan men nu aan de klanten laten zien dat het bedrijf vertrouwelijk en integer met de klantgegevens omgaat.”

- Directeur aanbieder Cloud-dienst met meer dan 250 klanten