[English]Microsoft hat zum 9. Mai 2023 erneut einen Fix für eine Outlook-Schwachstelle mit Windows-Updates ausgeliefert. Mit diesem Update soll eine Schwachstelle in Outlook geschlossen werden, die bereits im März 2023 unvollständig gepatcht wurde. Russische Hacker haben diese Schwachstelle in der Vergangenheit ausgenutzt.
Anzeige
Rückblick auf die Outlook-Schwachstelle CVE-2023-23397
Im März 2023 hatte Microsoft eine kritische Schwachstelle CVE-2023-23397, die eine Rechteauswertung durch Dritte ermöglicht, öffentlich gemacht und angeblich durch ein Update geschlossen (siehe Outlook wegen kritischer Schwachstelle CVE-2023-23397 patchen). Es handelte sich um die Schwachstelle CVE-2023-23397 in Microsoft Outlook. Das ist eine Elevation of Privilege-Schwachstelle (EvP), die den CVEv3-Score von 9.8 erhalten hat, also extrem kritisch eingestuft wird.
Angreifer können eine bösartige E-Mail an eine anfällige Version von Outlook senden. Wenn die E-Mail vom Server geladen und im Client verarbeitet wird, kann eine Verbindung zu einem vom Angreifer kontrollierten Gerät hergestellt werden, um den Net-NTLMv2-Hash des E-Mail-Empfängers auszuspähen. Der Angreifer kann diesen Hash verwenden, um sich in einem NTLM-Relay-Angriff als Empfänger des Opfers zu authentifizieren, heißt es bei Microsoft.
Microsoft hat zum 14. März 2023 Sicherheitsupdates für Outlook 2016 (KB5002254) und für Outlook 2013 (KB5002265) dazu veröffentlicht (siehe Patchday: Microsoft Office Updates (14. März 2023)). Betroffen waren aber wohl nur Outlook-Systeme, die gegen Exchange-Postfächer arbeiten. Microsoft hatte Exchange-Administratoren zum März 2023 Patchday nicht nur auf die Schwachstelle hingewiesen, sondern auch ein Prüfscript veröffentlicht (siehe den Blog-Beitrag Exchange Server Sicherheitsupdates (14. März 2023)).
Patch unvollständig
Im Blog-Beitrag Outlook-Schwachstelle CVE-2023-23397 nicht vollständig gepatcht – Absicherung erforderlich hatte ich dann darauf hingewiesen, dass der Patch unvollständig sei. Der Angriff kann weiterhin mit etwas modifizierten E-Mails immer noch ausgeführt werden. Ben Barnea von Akamai weist auf Twitter darauf hin, das er einen Bypass für den März 2023-Patch von Microsoft gefunden habe.
Anzeige
Ben Barnea schreibt, dass die Schwachstelle, nach den Informationen, die von Microsoft im Vorfeld mitgeteilt wurden (und anscheinend auch von anderen), die Sicherheitslücke tatsächlich als kritisch eingestuft wurde und einen CVSS-Wert von 7,5 erhielt. Am Patch Tuesday stufte Microsoft die Schwachstelle jedoch als wichtig ein und senkte den CVSS-Wert auf 6,5 – eine Erklärung fehlt. Ben schreibt dazu:
"Unsere Untersuchungen deuten darauf hin, dass die neue Schwachstelle die Ausnutzung einer kritischen Schwachstelle ermöglicht, die in freier Wildbahn beobachtet und von APT (Advanced Persistent Threat)-Betreibern genutzt wurde. Wir sind nach wie vor der Meinung, dass unsere Entdeckung von großer Tragweite ist. In den Händen eines böswilligen Akteurs könnte sie dieselben Folgen haben wie der kritische ursprüngliche Outlook-Bug."
Die Details sind im Akamai-Blogbeitrag From One Vulnerability to Another: Outlook Patch Analysis Reveals Important Flaw in Windows API beschrieben. Weitere Artikel finden sich auf Darkreading und The Record.
Neuer Fix für Schwachstelle CVE-2023-29324
Zum 9. Mai 2023 hat Microsoft dann den Supportbeitrag Microsoft Mitigates Outlook Elevation of Privilege Vulnerability vom 14. März 2023 um einen Text mit folgendem Inhalt ergänzt:
May 9, 2023 update: Releases for Microsoft Products has been updated with the release of CVE-2023-29324 – Security Update Guide – Microsoft – Windows MSHTML Platform Security Feature Bypass Vulnerability
Im verlinkten Beitrag heißt es, dass Kunden die Updates für CVE-2023-23397 (Patch kommt für Outlook, siehe oben) sowie für CVE-2023-29324 (Patch für die MSHTML-Komponente, kommt per IE- und Windows Update) installieren müssen, um vollständig geschützt zu sein. Die Schwachstelle betrifft alle im Support befindlichen Windows-Versionen, bei denen die MSHTML-Komponente gepatcht wird.
Microsoft hat dann unter CVE-2023-29324 die Liste der Windows-Updates veröffentlicht, die diese Schwachstelle (in MSHTML) adressieren. Weiterhin empfiehlt Microsoft Administratoren, die nur Sicherheitsupdates für Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2 installieren, auch das Mai 2023-Update KB5026366 für den Internet Explorer 11 zu installieren. Der Grund: Die Security-only Updates enthalten nicht die gepatchte IE-Komponente.
Ähnliche Artikel:
Outlook wegen kritischer Schwachstelle CVE-2023-23397 patchen
Patchday: Microsoft Office Updates (14. März 2023)
Exchange Server Sicherheitsupdates (14. März 2023)
Outlook-Schwachstelle CVE-2023-23397 nicht vollständig gepatcht – Absicherung erforderlich
Leitfaden von Microsoft zur Outlook-Schwachstelle CVE-2023-23397
Microsoft Security Update Summary (9. Mai 2023)
Patchday: Windows 10-Updates (9. Mai 2023)
Patchday: Windows 11/Server 2022-Updates (9. Mai 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (9. Mai 2023)
Patchday: Microsoft Office Updates (9. Mai 2023)
Anzeige
Guten Tag,
also für Office 2016 sind nur Word (KB5002369) und Excel (KB5002386) erschienen.
Kein Outlook.
Die Absicherung für Outlook ist im normalen monatlichen Update für Windows enthalten.
Microsoft Outlook entwickelt sich zu einem Katastrophentool. Trotz der MS Outlook Bugs plant Microsoft die größte Verschlimmbesserung, die man sich nur vorstellen kann. Copilot soll in Microsoft Outlook integriert werden. Die Integration von Copilot zum jetzigen Zeitpunkt ist ein wagemutiges Unternehmen. Microsoft befindet sich nämlich in einem Zerfallsprozess. Der Marktanteil von Microsoft Windows ist innerhalb von 10 Jahren von 95% auf 69% gesunken. Besonders schmerzlich ist der Verlust von 5% Marktanteile innerhalb der letzten 12 Monate.
Outlook gibt es doch gerade mal > 20 Jahre. Klar könnte man sagen: YOU HAD ONE JOB! aber man muss auch MS verstehen, die mit propritären Features die dann diese Probleme bei Kunden in der Azure Cloud verursachen, einfach nicht anders können als immer wieder angreifbaren Dreck einzubauen in ein Tool das nichts anderes machen sollte als E-Mails zu empfangen und zu senden.
Ist was bekannt, dass nach dem letzten Outlook Update die Signaturen nicht mehr "voreingestellt" sind? Ich kann sie zwar noch manuell auswählen, aber wenn ich sie fest hinterlegen will, findet er keine Signaturen.
Im Ordner "%appdata%\Microsoft\Signatures\" sind die Signaturen vorhanden. Wenn ich eine neue Signatur testweise erstelle hat diese nun eine andere Aufbauweise wie vorher.
Vorher: 3 Dateien mit den Namen signatur.htm / .rtf & .txt
Jetzt: Ordner "signatur (email-adresse)-Dateien" mit dem Inhalt "colorschemingmapping.xml, filelist.xml, themedata.thmx" sowie im Überordner 3 Dateien mit den Namen "signatur (email-adresse).htm / .rtf & .txt
Falls auch jemand seine Signaturen lokal generieren lässt und dieses Problem hat, folgenden Registry Eintrag erstellen: HKCU:\Software\Microsoft\Office\16.0\Outlook\Setup\DisableRoamingSignaturesTemporaryToggle DWORD auf 1
Thx. Bringt den alten Sig-Assi wieder hervor. Bleiben die Sigs dann auch dauerhaft an andere Konten hängen, wenn man sie umstellt und dann den Wert wieder entfernt?
Das Problem haben wir auch. Alle Signaturen mussten neu angelegt werden.
Be mir sind sie nach dem Update von outlook 365 2302 auf 2304 auch "seapariert" worden. Vorher waren sie imho Konounabhängig. Nun gibt es Sigs auf dem Gerät (4) und ein Konto mit (2) und eins ohne Signaturen.
Die auf dem Gerät lassen sich nicht zuweisen, bem Standardkonto fehlt eine und für das zweite Konto müsste ich sie neu anlegen… Obwohl ich beim Verfassen im Konto ohne Sigs die eine die beim anderen fehlt auswählen kann.
Mit jedem Update neue S…
Und wenn das noch nicht genügt habe ich zusätzlich zu dem o.g. Signaturenproblem (ich generiere zentral die Signaturen, danke an minx für den Reg-Key) auch das Problem, das mein Outlook nicht mehr auf ein OnPremise-Postfach zugreifen kann. Mein Outlook ist C2R App for Enterprise (Version 2303, Build 16227.20318), mein persönliches Postfach liegt auf Exchange Online. Seit dem Update werden die Mails nicht mehr synchronisiert, lustigerweise kann ich aber dort Daten im Kalender ablegen, die dann für alle sichtbar sind….