Eine nun behobene Sicherheitslücke in Microsoft Outlook könnte von Angreifern ausgenutzt werden, um auf NT LAN Manager (NTLM) v2-gehashte Passwörter zuzugreifen, wenn eine speziell gestaltete Datei geöffnet wird. Das Problem mit dem Namen CVE-2023-35636 (CVSS Score: 6.5) wurde von dem Technologieriesen im Rahmen seiner Patch Tuesday-Updates für Dezember 2023 behoben. In einem Angriffsszenario per E-Mail könnte ein Angreifer die Schwachstelle ausnutzen, indem er die speziell gestaltete Datei an den Benutzer sendet und den Benutzer dazu überredet, die Datei zu öffnen. In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die benutzerbereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, um die Schwachstelle auszunutzen. Mit anderen Worten, der Angreifer müsste Benutzer dazu bringen, auf einen Link zu klicken, entweder eingebettet in einer Phishing-E-Mail oder per Sofortnachricht gesendet, und sie dann dazu bringen, die fragliche Datei zu öffnen. CVE-2023-35636 hat seinen Ursprung in der Kalenderfreigabefunktion in der Outlook-E-Mail-Anwendung, bei der eine böswillige E-Mail-Nachricht erstellt wird, indem zwei Header „Content-Class“ und „x-sharing-config-url“ mit speziell gestalteten Werten eingefügt werden, um den NTLM-Hash eines Opfers während der Authentifizierung offenzulegen. Dolev Taler, Sicherheitsforscher bei Varonis, dem die Entdeckung und Meldung des Fehlers zugeschrieben wird, sagte, NTLM-Hashes könnten durch die Nutzung von Windows Performance Analyzer (WPA) und Windows File Explorer preisgegeben werden. Diese beiden Angriffsmethoden sind jedoch noch nicht behoben. „Was dies interessant macht, ist, dass WPA versucht, sich über das öffentliche Web mit NTLM v2 zu authentifizieren“, sagte Taler. „Normalerweise sollte NTLM v2 verwendet werden, wenn man versucht, sich gegen interne IP-Adress-basierte Dienste zu authentifizieren. Wenn der NTLM v2-Hash jedoch über das offene Internet übertragen wird, ist er anfällig für Relay- und Offline-Brute-Force-Angriffe.“ Die Offenlegung erfolgt, als Check Point einen Fall von „erzwungener Authentifizierung“ bekanntgab, der dazu genutzt werden könnte, die NTLM-Token eines Windows-Benutzers preiszugeben, indem er das Opfer dazu bringt, eine bösartige Microsoft Access-Datei zu öffnen. Microsoft kündigte im Oktober 2023 Pläne an, NTLM in Windows 11 zugunsten von Kerberos einzustellen, um die Sicherheit zu verbessern, da es keine kryptografischen Methoden unterstützt und anfällig für Relay-Angriffe ist.