Das US Cyber Command warnt aktuell vor einer Outlook-Schwachstelle CVE-2017-11774, die längst gepatcht sein könnte (gibt ein Update aus 2017). Hacker fahren aktuell Angriffe auf Outlook, um diese Schwachstelle auszunutzen, und verteilen Malware.
Anzeige
Ist hier im Blog schon als Kommentar aufgeschlagen. Angeblich nutzen aktuell iranische Hacker eine 2017 eigentlich geschlossene Outlook-Lücke für Angriffe. Die Warnung des US Cyber Command kommt per Twitter:
USCYBERCOM has discovered active malicious use of CVE-2017-11774 and recommends immediate #patching. Malware is currently delivered from: 'hxxps://customermgmt.net/page/macrocosm' #cybersecurity #infosec
— USCYBERCOM Malware Alert (@CNMF_VirusAlert) 2. Juli 2019
Man hat also festgestellt, dass die Schwachstelle CVE-2017-11774 in Outlook durch Hacker aktiv ausgenutzt wird.
Ein paar Informationen
Die Schwachstelle CVE-2017-11774 wurde bereits 2017 von SensePost-Forschern identifiziert und im Oktober 2017 von Microsoft gepatcht. Die Schwachstelle erlaubte es Malware, aus der Outlook-Sandbox zu entkommen und das Betriebssystem zu infizieren. Derzeit liefern Hacker über diese Schwachstelle Malware aus. Sicherheitsanbieter FireEye legt auf Twitter nach:
Anzeige
Our team spent a lot of time writing up targeted Iranian attacker #APT33's abuse of Outlook CVE-2017-11774 back in December: https://t.co/RrN3eDCA0Z
The malware families, Yara rules, & hunting methods shared still apply to this attacker's current campaign (mid-June to present)
— Nick Carr (@ItsReallyNick) 2. Juli 2019
Die Aussage: Eine staatlich geförderte iranische Hackergruppe namens APT33 gelang es, die Schwachstelle im Jahr 2018 auszunutzen. Bereits im Dezember 2018 installierte APT33 Backdoors in Webservern, um die Schwachstelle auszunutzen. Die Stellungnahme von FireEye, die mir vorliegt, lautet:
„FireEye hat im vergangenen Jahr mehrere iranische Hacker beobachtet und Beweise dafür veröffentlicht, wie sie die Outlook-Schwachstelle CVE-2017-11774 ausnutzen. FireEye weist die Merkmale in der Warnung des US Cyber Command (eine US-amerikanische Behörde für Internetsicherheit) zu CVE-2017-11774 der Gruppe APT33 zu. Die verwendeten Techniken stehen im Einklang mit dem Verhalten von APT33, wie es FireEye im veröffentlichten "OVERRULED"-Blogpost im Dezember 2018 beschrieben hat – sowie der aktuellen Kampagne von APT33, die im Juni identifiziert wurde und eine verstärkte Ausrichtung auf viele in den USA ansässige Institutionen aufweist.
Die Ausnutzung von CVE-2017-11774 führt weiterhin zu Verwirrung bei vielen Sicherheitsexperten. Wenn Outlook von bösartigen Anwendungen befallen ist, wird häufig davon ausgegangen, dass der betroffene Nutzer Opfer einer Phishing-Attacke wurde – was hier jedoch nicht der Fall ist. Das Unternehmen kann wertvolle Zeit verschwenden, ohne sich auf die eigentliche Ursache zu konzentrieren. Bevor ein Gegner eine Schwachstelle ausnutzen kann, benötigt er gültige Anmeldeinformationen eines Nutzers. Bei APT33 werden diese oft durch sogenanntes „Password Spraying" erlangt. Dabei versuchen Bedroher Zugriff zu erlangen, indem sie wenige, häufig verwendeten Passwörtern bei einer großen Anzahl von Konten ausprobieren.
Seit mindestens einem Jahr nutzen die Gruppen APT33 und APT34 diese Technik mit Erfolg – aufgrund der fehlenden geeigneten Zugriffskontrollen in Unternehmen für E-Mails wie Multi-Faktor-Authentisierung und Patches für E-Mail-Anwendungen in Bezug auf CVE-2017-11774."
Patch für CVE-2017-11774 aus 2017
Klingt auf den ersten Blick nach 'sind die Leute nur doof, dass die nicht patchen'. Ich habe im Blog nach CVE-2017-11774 gesucht und bin auf den Beitrag Fix: Outlook-Mail-Bug in KB4011089, KB4011090, KB4011091 gestoßen. Mit den ursprünglichen Patches gab es wohl Probleme, die erst später mit revidierten Updates behoben wurden. Einige Leute haben dann diese Updates nicht mehr eingespielt. Also: Patcht euer Outlook (siehe CVE-2017-11774), falls noch nicht geschehen.
Anzeige
Das ganze Problem ist seinerzeit wirklich dumm gelaufen, eben typisch MS.
Da gerät ein nachzuholender Patch schon mal in Vergessenheit.
Teilweise ist vielleicht sogar davon auszugehen, dass von der Geschäftsführung zu viel Zeitdruck ausgeübt wurde. Der moderne Ausdruck dafür ist Arbeitsverdichtung, und diese Unvernunft bleibt nie lange ohne negative Folgen. Dann kommen die Schuldzuweisungen.
Hallo,
laut
https://securityaffairs.co/wordpress/87895/breaking-news/cve-2017-11774-apt33-attacks.html
wurde das KB im Oktober 2017 patch Tuesday integriert.
Und auf
https://www.ghacks.net/2017/10/10/microsoft-security-updates-october-2017-release/
wird es auch aufgeführt unter Office Updates.
Eine manuelle abfrage nach der Installation von KB4011240 auf unseren Rechnern liefert kein Ergebnis. Vermutlich weil es nicht einzeln sondern im Update Paket installiert wurde oder?
Gruß
Fritz