Mimecast ontdekt MDB-lek: Microsoft Access-kwetsbaarheid CVE-2019-1463

Noot van de redactie: Met dank aan Mimecast Research Labs' Ofir Shlomo en Tal Dery voor deze ontdekking.

In januari 2019 ontdekte en onthulde Mimecast Research Labs CVE-2019-0560, een kwetsbaarheid in een Microsoft Office-product. Onlangs ontdekte en onthulde het Lab op 10 december 2019 een opzienbarend vergelijkbare nieuwe kwetsbaarheid genaamd MDB Leaker die een patch vereiste (CVE-2019-1463) in Microsofts Access-databasetoepassing.

Als deze kwetsbaarheid niet wordt gepatcht, kunnen 85.000 bedrijven - waarvan bijna 60% in de VS - worden blootgesteld aan een lek van gevoelige gegevens. Op de datum van deze blog is het Lab echter nog niet op de hoogte van een daadwerkelijke compromittering op basis van deze kwetsbaarheid.

Hoe lijken deze twee kwetsbaarheden op elkaar? Vanwege een veel voorkomende coderingsfout - in dit geval het onjuiste beheer van systeemgeheugen door een toepassing, wat kan leiden tot de onbedoelde openbaarmaking van gevoelige of privé-informatie.

Valse positieven kunnen goed zijn

Hoewel vals-negatieven, zoals ontbrekende schadelijke bestanden of e-mails, altijd tot een minimum moeten worden beperkt, zijn contra-intuïtief gezien niet alle vals-positieven inherent slecht. Bij MDB Leaker bijvoorbeeld, net als bij de Microsoft Office-kwetsbaarheid van januari 2019, bleek de melding van een potentieel vals-positief van cruciaal belang te zijn voor deze ontdekking. Hier is hoe.

Nadat ze een vals-positief rapport hadden ontvangen voor een bepaald Microsoft Access-bestand dat was gemarkeerd via statische bestandsanalyse, stelden onderzoekers van Mimecast vast dat er codefragmenten waren in wat duidelijk een bestandstype zou moeten zijn dat alleen gegevens bevat, namelijk een Microsoft Access MDB-bestand. Het team vermoedde dat het systeemgeheugen in de Microsoft Access-toepassing niet goed werd beheerd en kon vaststellen dat het om een reproduceerbare fout ging die in meerdere oudere versies van de Microsoft Access-databasetoepassing was opgenomen.

Wat is het veiligheidslek?

MDB Leaker lijkt bijna identiek te zijn aan het bredere Office-geheugenlek dat begin 2019 door het Lab werd ontdekt, waardoor de inhoud van niet-ingewijde geheugenelementen werd opgeslagen in elk bestand - ten minste sinds Access 2002 - dat werd opgeslagen met een ongepatchte versie van Microsoft Access-database. Door de willekeurigheid van de geheugeninhoud die hier in het spel is, kunnen de gegevens die onbedoeld in het bestand zijn opgeslagen, in veel gevallen waardeloze inhoudsfragmenten zijn. Dit hoeft echter niet altijd het geval te zijn.

In sommige gevallen kunnen de onbedoelde gegevens die in het MDB-bestand zijn opgeslagen gevoelige informatie zijn, zoals wachtwoorden, certificaten, webverzoeken en domein-/gebruikersinformatie. Met andere woorden, een geheugenlek is niet per definitie een beveiligingslek, maar waar het geheugenlek toe kan leiden, is het eigenlijke probleem. Met dat in gedachten moedigt het Lab alle gebruikers van de Microsoft Access-database aan om de openbaarmaking te bekijken.

Kijk eens naar een ander voorbeeld van onderzoekers. Als een kwaadwillende actor op een machine kan komen die MDB-bestanden bevat of grote hoeveelheden MDB-bestanden kan bemachtigen, kan de actor een geautomatiseerde "vuilnisbakduik" uitvoeren door alle bestanden heen om gevoelige informatie in deze bestanden te zoeken en te verzamelen, die kan worden gebruikt voor een groot aantal kwaadwillige doeleinden.

Gelukkig heeft Mimecast Research Lab tot op heden nog geen exploit van deze kwetsbaarheid in het wild gezien, maar een gebruiker die de mogelijke kwetsbaarheid niet patcht, zou vatbaar kunnen zijn voor een aanval. Om dit te voorkomen, moet u de beste beveiligingspraktijken volgen die hieronder worden beschreven, en Microsoft Access-database-executables zo snel mogelijk patchen.

Voorgestelde beste beveiligingspraktijken

• Gebruik een e-mailbeveiligingssysteem met geavanceerde malwaredetectiemogelijkheden, waaronder zowel statische bestandsanalyse als sandboxing om te voorkomen dat schadelijke bestanden de organisatie binnenkomen en dat gevoelige inhoud de organisatie verlaat.
• Controleer en installeer regelmatig patches en updates voor uw IT-systemen en -toepassingen voor beveiligingslekken, zoals deze worden verstrekt door de IT-leverancier.
• Controleer het netwerkverkeer op verbindingen met mogelijke commando- en controlediensten en op de exfiltratie van mogelijk gevoelige bestanden.
• Werk endpointbeveiligingssystemen voortdurend bij om de kans op detectie van kwaadaardige software die op deze hosts draait, te vergroten.

Deze Blog is uitsluitend bedoeld voor algemene informatiedoeleinden en mag niet worden gebruikt als vervanging voor overleg met professionele adviseurs. Mimecast Services Limited en haar filialen (gezamenlijk "Mimecast") hebben redelijke zorgvuldigheid betracht bij het verzamelen, verwerken en rapporteren van deze informatie, maar hebben de gegevens niet onafhankelijk geverifieerd, gevalideerd of gecontroleerd om de nauwkeurigheid of volledigheid van de informatie te verifiëren. Mimecast is niet verantwoordelijk voor eventuele fouten of weglatingen op deze Blog, en behoudt zich het recht voor om op elk moment zonder voorafgaande kennisgeving wijzigingen aan te brengen. De vermelding van producten of diensten die niet van Mimecast afkomstig zijn, is uitsluitend bedoeld ter informatie en houdt geen goedkeuring of aanbeveling door Mimecast in. Alle informatie van Mimecast en derden die in deze Blog wordt verstrekt, wordt verstrekt op een "as is"-basis. MIMECAST WIJST ALLE GARANTIES AF, EXPLICIET OF IMPLICIET, MET BETREKKING TOT INFORMATIE (INCLUSIEF SOFTWARE, PRODUCTEN OF DIENSTEN) DIE IN DIT ONDERZOEKSARTIKEL WORDT VERSTREKT, INCLUSIEF DE IMPLICIETE GARANTIES VAN VERHANDELBAARHEID EN GESCHIKTHEID VOOR EEN BEPAALD DOEL, EN NIET-INBREUK. Sommige jurisdicties staan de uitsluiting van impliciete garanties niet toe, zodat de bovenstaande uitsluiting mogelijk niet op u van toepassing is. In geen geval is Mimecast aansprakelijk voor welke schade dan ook, en in het bijzonder is Mimecast niet aansprakelijk voor directe, bijzondere, indirecte, gevolg- of incidentele schade, of schade wegens winstderving, inkomsten- of gebruiksderving, kosten van vervangende goederen, verlies van of schade aan gegevens voortvloeiend uit het gebruik van of het onvermogen tot gebruik van een Mimecast-website, een Mimecast-oplossing. Dit omvat ook schade die voortvloeit uit het gebruik van of het vertrouwen op de documenten of informatie op deze Blog, zelfs indien Mimecast op de hoogte werd gebracht van de mogelijkheid van dergelijke schade.