Proof of Concept für Outlook-Schwachstelle veröffentlicht

Publiziert am 27. Juni 2019 von Günter Born

Zwei Tage nachdem Microsoft ein Sicherheitsupdate für die Android Outlook-App freigegeben hat, wurde jetzt ein Proof of Concept (PoC) für diese Schwachstelle veröffentlicht.

Anzeige

Ich hatte den Fehler in der Android-Outlook-App von Microsoft nicht thematisiert, da mir die Zeit zu knapp war und die App eh aktualisiert wird. Die Outlook-App für Android wies eine kritisch eingestufte Schwachstelle (CVE-2019-1105) auf, die einen Spoofing-Angriff ermöglichte.

Microsoft hatte zur Schwachstelle (CVE-2019-1105) einen Sicherheitshinweis veröffentlicht. Ein authentifizierter Angreifer könnte die Schwachstelle ausnutzen, indem er eine speziell gestaltete E-Mail-Nachricht an ein Opfer sendet. Dies ermöglicht dem Angreifer Cross-Site-Scripting-Angriffe auf die betroffenen Systeme durchzuführen und Skripte im Sicherheitskontext des aktuellen Benutzers ausführen (Remote Code Execution).

Die Outlook-App von Microsoft wird von über 100 Millionen Android-Benutzern verwendet. Microsoft hat 6 Monate nachdem es über die Schwachstelle informiert wurde, diese am 20.6.2019 per App-Update auf die Version 3.0.8 geschlossen.

Bryan Appleby (@bryapp) von den F5 Labs hat nun in diesem Artikel erklärt, wie er den Hack der Outlook-App für Android durch ein wenig JavaScript-Code in einer Mail ausführen konnte und gleich den Code als Proof of Concept (PoC) nachgeschoben. Das nachfolgende Bild zeigt den Code.


(Quelle: Bryan Appleby, F5 Labs)

Ein in einem iFrame eingebettetes JavaScript kann normalerweise nur auf Inhalt dieses Frames zugreifen. Appleby hat jedoch festgestellt, dass die Ausführung von JavaScript-Code innerhalb des eingefügten iFrames es einem Angreifer ermöglichen kann, App-bezogene Inhalte im Kontext eines angemeldeten Outlook-Benutzers zu lesen. Das umfasst auch Cookies, Token und sogar einiger Inhalte des E-Mail-Posteingangs. Appleby sagt, dass die Schwachstelle es ihm erlaubte, "Daten von der App zu stehlen – ich könnte sie benutzen, um das HTML zu lesen und zu extrahieren".

The Hacker News hat in diesem Artikel noch ein Video eingebunden, welches die Ausnutzung des Hacks demonstriert. Interessant ist auch der zeitliche Verlauf, von der Entdeckung bis zum Schließen der Schwachstelle.

Anzeige
  • 10 December 2018 – First disclosed to MSRC
  • 16 January 2019 – Video screen capture of vulnerability sent. Microsoft cannot repro. Case went cold.
  • 26 March 2019 – Universal POC sent to MSRC
  • 26 March 2019 – Microsoft confirms repro
  • 20 June 2019 – Fix released

Deckt sich mit dem, was ich von anderen Sicherheitsforschern so mitbekomme. Die müssen Microsoft häufiger anstupsen, bis die den Berichten nachgehen oder das überhaupt nachvollziehen können.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Android, App, Mail, Sicherheit, Update abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Proof of Concept für Outlook-Schwachstelle veröffentlicht

  1. 1ST1 sagt:
    27. Juni 2019 um 14:11 Uhr

    Spiegel Online schreibt gerade über eine Lücke, die Schadcode ohne Makro nachladen kann, per Power Query bzw. DDE.

    Antworten

Schreibe einen Kommentar zu 1ST1 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.