Microsofts Office Defense in Depth Update ADV230003 (CVE-2023-36884) gegen RCE-Angriffe (August 2023)

[English]Microsoft hat zum 8. August 2023 zahlreiche Sicherheitsupdates für Windows und Office veröffentlicht. Für Microsoft Office gab es für die MSI-Versionen Sicherheitsupdates sowohl für Version 2013 als auch für Office 2016. Auch die C2R-Varianten von Office 2016 und 2019 sollten sich ein entsprechendes Update gezogen haben. Microsoft bezeichnet das Ganze als "Defense in Depth Update", mit dem eine Angriffskette in der Windows-Suche unterbrochen werden soll. Hier noch einige Informationen dazu.


Anzeige

ADV230003 zur Schwachstelle CVE-2023-36884 gefixt

Microsoft gibt an ein Office Defense in Depth Update mit den August 2023-Updates (besonders für Microsoft Office) vorzunehmen – den Kollegen hier ist das aufgefallen. Das Ganze wurde unter ADV230003 veröffentlicht. Laut Microsoft soll die als moderat eingestufte Schwachstelle in Microsoft Office bezüglich der Ausnutzbarkeit noch besser abgesichert werden. Es geht um die Schwachstelle CVE-2023-36884, die als Windows Search Remote Code Execution Vulnerability bereits im Juli 2023 öffentlich wurde (es gab zum Juli 2023-Patchday kein Sicherheitsupdate für diese Schwachstelle).

Die Schwachstelle erlaubt ein Angriffsszenario, bei dem der Angreifer dem anvisierten Benutzer eine speziell gestaltete Datei per E-Mail oder Sofortnachricht senden kann. Über die Schwachstelle ließe sich so eine Remotecodeausführung ausnutzen. Konkret dreht es sich um das Mark of the Web (MotW) Sicherheits-Feature, welches eigentlich die Ausführung von Dateien, die als aus dem Internet stammend mit dem MotW-Flag markiert sind, verhindern und eine Sicherheitswarnung zeigen soll. Die vom Angreifer eingeschleuste bösartige Datei kann nun genau diese Mark of the Web (MOTW)-Schutzmaßnahmen umgehen, um Code auf dem Opfersystem auszuführen.

Die Konstellation ist aber so, dass das Opfer die bösartige Datei gezielt zum Ausführen öffnen muss. Ein Angreifer hat keine Möglichkeit, einen Benutzer dazu zu zwingen, die schädlichen Inhalte anzusehen. Es läuft also darauf hinaus, dass der Angreifer das Opfer dazu verleitet, etwas zu unternehmen. Das kann die Aufforderung sein, auf einen Link zu klicken, um den Benutzer auf die Website des Angreifers zu leiten, wo dann ein Download angeboten wird. Oder es wird ein bösartiger Anhang gesendet.

Durch die Installation dieser Updates soll die Angriffskette unterbrochen werden, die zu der Sicherheitsanfälligkeit (CVE-2023-36884) bei der Remotecodeausführung in der Windows-Suche führt. Microsoft empfiehlt die Installation der in diesem Hinweis besprochenen Office-Updates sowie die Installation der Windows-Updates vom August 2023.Die betreffenden Updates für die MSI-Dateien habe ich im Blog-Beitrag Microsoft Office Updates (8. August 2023) aufgelistet. In ADV230003 finden sich auch die Updates für die Click-2-Run-Installationen.


Anzeige

Was man zu CVE-2023-36884 wissen soll

Die Schwachstelle hat schon was, taucht sie doch in verschiedenen Blog-Beiträgen auf. Im Beitrag Microsoft Security Update Summary (11. Juli 2023) hatte ich erwähnt, dass z.B. das im Juli 2023 stattgefundene Nato Gipfeltreffen im Baltikum über diese Schwachstelle CVE-2023-36884 angegriffen wurde. Im Beitrag Office und Windows HTML RCE-Schwachstelle CVE-2023-36884 erlaubt Systemübernahme bin ich seinerzeit auf den Sachverhalt eingegangen.

Bei der Schwachstelle CVE-2023-36884 handelt es sich um eine HTML Remote Code Execution-Lücke, die über eine Internet Explorer-Komponente eingeführt wurde und sich auf sowohl auf Microsoft Office als auch auf Windows auswirkt. Microsoft gab im Juli 2023 an, dass man Berichte über eine Reihe von Sicherheitslücken bei der Remotecodeausführung, die Windows- und Office-Produkte betreffen, untersucht. Eine Gruppe Storm-0978 aus Russland, auch unter Namen wie DEV-0978 oder RomCom geführt, wird der Angriffe bezichtigt. Die Akteure sind auf Ransomware-Kampagnen (Undergrund Ransomware) und Erpressung spezialisiert. Zu den Zielregionen gehören die Ukraine, Nordamerika und Europa, während zu den Zielbranchen Telekommunikation und Finanzen gehören.

Ähnliche Artikel:
Microsoft Security Update Summary (8. August 2023)
Patchday: Windows 10-Updates (8. August 2023)
Patchday: Windows 11/Server 2022-Updates (8. August 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (8. August 2023)
Microsoft Office Updates (8. August 2023)


Anzeige

Dieser Beitrag wurde unter Office, Sicherheit, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Microsofts Office Defense in Depth Update ADV230003 (CVE-2023-36884) gegen RCE-Angriffe (August 2023)

  1. nik_ventures sagt:

    Die Frage der Fragen: hats schon wer installiert und kann berichten über etwaige Probleme? Wir patchen alles mit ManageEngine, da ist es aber noch nicht eingetroffen.

  2. Martin sagt:

    Was soll mit den im Juli gesetzten Reg Keys nach Installation des August Patches passieren, wieder entfernen?
    Von MS finde ich dazu keine Aussage, vom BIS allerdings das hier:

    Update 2:
    IT-Sicherheitsverantwortliche sollten das Microsoft Office Defense in Depth Update [MS2023c] zeitnah installieren, um
    eine Ausnutzung von CVE-2023-36884 zu verhindern. Vorher getroffene Mitigationsmaßnahmen werden durch das
    Update nicht mehr benötigt.

    Hat da jemand noch weitere Infos zu?

    • Dominik sagt:

      Patch installiert, Reg Key weiterhin da, läuft alles wie vorher

    • Damiel sagt:

      Die FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION-Einträge sind Härtungsmaßnahmen, genauso wie die ASR-Regel. Sofern dir keine Kompatibilitätsprobleme aufgefallen sind, ist es sinnvoll, die zu belassen.

      Man muss ja auch sagen: die meisten Anwender waren sowieso nicht betroffen, weil der Angriff schon vor dem Patch und auch ohne Mitigations auf der aktuellen Office-Version nicht funktioniert hat.

  3. Christian sagt:

    Nach Installation des Sicherheitsupdate für Microsoft Visio 2013 KB5002417 32bit können wir nicht mehr eine Datei speichern. Visio crashed beim Speichern.
    Hat wer eine Lösung dafür?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.