Wie Outlook OLE Packages nahezu jede Unternehmesfirewall umgehen können

In diesem Tutorial wird auf eine kritische Sicherheitslücke von OLE Packages, oder packager.dll hingewiesen. Hierbei handelt es sich um ein sehr altes Windows Feature stammend aus Windows 3.1 Zeiten, das in aktuellen Versionen noch immer existiert. Mit dieser Funktion kann man schadhaften Code in Office Dokumente packen, das Format in Rich text umwandeln und so Unternehmens Mailfilter umgehen.

Mircosoft Outlook 2003 und neuer (einschließlich Outlook 2016) unterstützen, in den Standard Einstellungen, OLE Packages. Standardmäßig kann man in Outlook keine ausführbaren Dateien (Exe-Dateien) öffnen, kommt diese per E-Mail als OLE Package. Das ist positiv hervor zu heben! Aber, wenn man die E-Mail als *.msg Datei abspeichert und dann als Anhang an eine E-Mail hängt, kann der Benutzer das Paket ungehindert öffnen.

Ein Paket erstellen

Werkzeug:

• Microsoft Outlook 2003 oder neuere

Als erstes öffnen wir eine neue E-Mail (im Test Microsoft Outlook 2013), erweitern das Fenster und fügen ein neues Objekt hinzu. Im Beispiel wurde der Windows Taschenrechner aus „C:Windows\System32\cal.exe“ verwendet.

Jetzt kann diese neue E-Mail als OLEpackage.msg (Dateiname kann geändert werden) gespeichert werden (Datei > Speichern unter…).

Zum Schluss wird wieder eine neue E-Mail erstellt und die gespeicherte msg-Datei angefügt werden.

Öffnet der Empfänger jetzt den Anhang, kann er die Exe-Datei einfach ausführen.

Mit diesen einfachen Tricks kann man also eine ausführbare Datei auch an Mailfiltern oder einer Firewall vorbei schleusen. Viele Cloud Dienste filtern nicht nach .exe Dateien in einer .msg Datei. Auch Sophos mit PureMessage für Microsoft Exchange kann keine Regeln für OLE Packages anwenden.

Paket erweitern

Als nächstes wird der Warnhinweis (Symbol) geändert. Es ist nicht so einfach möglich die Check-box aus zu wählen um damit das Symbol und die Beschreibung zu ändern.

Jedoch klappt das in Outlook 2013, hier verändert man einfach das Format der Nachricht von HTML in Rich Text.

Danach kann man beim Einfügen die Check-box „Als Symbol anzeigen“ auswählen.

Und im nächsten Schritt ein neues Symbol sowie Beschriftung vergeben. Dazu eignen sich zum Beispiel die Excel.exe oder die Winword.exe, wie im Bild zu sehen.

Danach ändert man das Nachrichtenformat wieder zurück in HTML (wichtig, sonst funktioniert das OLE Package nicht) und speichert es (…bereitet es zum Versand vor).

Als letzten Schritt könnte man jetzt die Absender E-Mail Adresse verändern, so dass die Mail von einem hohen Mitarbeiter (Manager/Abteilungsleiter/Chef) kommt und für einen Mitarbeiter wichtig aussieht.

Schutz

An dieser Stelle möchten wir drei mögliche Maßnahmen nennen.

• Whitelisting von Anwendungen die verwendet werden können. Dennoch muss man bei signierten Exe-Dateien denen Parameter mitgegeben werden können vorsichtig sein. Es gibt verschiedene Tools, von Microsoft digital signiert, die man als Ausgangspunkt für andere Anwendungen nehmen kann. Da sie von Microsoft kommen wird die Herausgeber erstmal vertraut.
• Verteilen eines Registry Schlüssel ShowOLEPackageObj, für Ihre Office Versionen. Um durch die Registry die OLE Package Funktion im Outlook zu deaktivieren. Es gibt keine möglichkeit diese Funktion für das komplette Office zu deaktivieren. Angreifer können immer noch Packages in Excel, Word und PowerPoint einbinden.
• EMET. Oder andere ähnliche Produkte. Mit EMET kann man eine Mitigation erstellen der die packager.dll stoppt.

Registry key

EMET

    packager.dll

Dieses Tutorial soll nur dazu dienen Probleme aufzuzeigen, die es Angreifern ermöglichen kann Schadcode in ein Unternehmen einzuschleusen. Es soll Benutzer und auch Administratoren sensibilisieren, so dass es nicht zu solch einem Problem führt. Alle Angaben sind ohne Gewähr, die Veränderung Ihres Betriebssystem erfolgt auf eigene Gefahr.