[English]Microsoft hat zum 8. August 2023 zahlreiche Sicherheitsupdates für Windows und Office veröffentlicht. Für Microsoft Office gab es für die MSI-Versionen Sicherheitsupdates sowohl für Version 2013 als auch für Office 2016. Auch die C2R-Varianten von Office 2016 und 2019 sollten sich ein entsprechendes Update gezogen haben. Microsoft bezeichnet das Ganze als "Defense in Depth Update", mit dem eine Angriffskette in der Windows-Suche unterbrochen werden soll. Hier noch einige Informationen dazu.
Anzeige
ADV230003 zur Schwachstelle CVE-2023-36884 gefixt
Microsoft gibt an ein Office Defense in Depth Update mit den August 2023-Updates (besonders für Microsoft Office) vorzunehmen – den Kollegen hier ist das aufgefallen. Das Ganze wurde unter ADV230003 veröffentlicht. Laut Microsoft soll die als moderat eingestufte Schwachstelle in Microsoft Office bezüglich der Ausnutzbarkeit noch besser abgesichert werden. Es geht um die Schwachstelle CVE-2023-36884, die als Windows Search Remote Code Execution Vulnerability bereits im Juli 2023 öffentlich wurde (es gab zum Juli 2023-Patchday kein Sicherheitsupdate für diese Schwachstelle).
Die Schwachstelle erlaubt ein Angriffsszenario, bei dem der Angreifer dem anvisierten Benutzer eine speziell gestaltete Datei per E-Mail oder Sofortnachricht senden kann. Über die Schwachstelle ließe sich so eine Remotecodeausführung ausnutzen. Konkret dreht es sich um das Mark of the Web (MotW) Sicherheits-Feature, welches eigentlich die Ausführung von Dateien, die als aus dem Internet stammend mit dem MotW-Flag markiert sind, verhindern und eine Sicherheitswarnung zeigen soll. Die vom Angreifer eingeschleuste bösartige Datei kann nun genau diese Mark of the Web (MOTW)-Schutzmaßnahmen umgehen, um Code auf dem Opfersystem auszuführen.
Die Konstellation ist aber so, dass das Opfer die bösartige Datei gezielt zum Ausführen öffnen muss. Ein Angreifer hat keine Möglichkeit, einen Benutzer dazu zu zwingen, die schädlichen Inhalte anzusehen. Es läuft also darauf hinaus, dass der Angreifer das Opfer dazu verleitet, etwas zu unternehmen. Das kann die Aufforderung sein, auf einen Link zu klicken, um den Benutzer auf die Website des Angreifers zu leiten, wo dann ein Download angeboten wird. Oder es wird ein bösartiger Anhang gesendet.
Durch die Installation dieser Updates soll die Angriffskette unterbrochen werden, die zu der Sicherheitsanfälligkeit (CVE-2023-36884) bei der Remotecodeausführung in der Windows-Suche führt. Microsoft empfiehlt die Installation der in diesem Hinweis besprochenen Office-Updates sowie die Installation der Windows-Updates vom August 2023.Die betreffenden Updates für die MSI-Dateien habe ich im Blog-Beitrag Microsoft Office Updates (8. August 2023) aufgelistet. In ADV230003 finden sich auch die Updates für die Click-2-Run-Installationen.
Anzeige
Was man zu CVE-2023-36884 wissen soll
Die Schwachstelle hat schon was, taucht sie doch in verschiedenen Blog-Beiträgen auf. Im Beitrag Microsoft Security Update Summary (11. Juli 2023) hatte ich erwähnt, dass z.B. das im Juli 2023 stattgefundene Nato Gipfeltreffen im Baltikum über diese Schwachstelle CVE-2023-36884 angegriffen wurde. Im Beitrag Office und Windows HTML RCE-Schwachstelle CVE-2023-36884 erlaubt Systemübernahme bin ich seinerzeit auf den Sachverhalt eingegangen.
Bei der Schwachstelle CVE-2023-36884 handelt es sich um eine HTML Remote Code Execution-Lücke, die über eine Internet Explorer-Komponente eingeführt wurde und sich auf sowohl auf Microsoft Office als auch auf Windows auswirkt. Microsoft gab im Juli 2023 an, dass man Berichte über eine Reihe von Sicherheitslücken bei der Remotecodeausführung, die Windows- und Office-Produkte betreffen, untersucht. Eine Gruppe Storm-0978 aus Russland, auch unter Namen wie DEV-0978 oder RomCom geführt, wird der Angriffe bezichtigt. Die Akteure sind auf Ransomware-Kampagnen (Undergrund Ransomware) und Erpressung spezialisiert. Zu den Zielregionen gehören die Ukraine, Nordamerika und Europa, während zu den Zielbranchen Telekommunikation und Finanzen gehören.
Ähnliche Artikel:
Microsoft Security Update Summary (8. August 2023)
Patchday: Windows 10-Updates (8. August 2023)
Patchday: Windows 11/Server 2022-Updates (8. August 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (8. August 2023)
Microsoft Office Updates (8. August 2023)
Anzeige
Die Frage der Fragen: hats schon wer installiert und kann berichten über etwaige Probleme? Wir patchen alles mit ManageEngine, da ist es aber noch nicht eingetroffen.
Server 2016 mit Office 2016 und Sage100 + CVS: keinerlei Probleme. Update über Windows-Update.
Habe schlimmes erwartet, wurde jedoch positiv überrascht.
Danke. Dann bleibt nur die Frage wie von Martin, ob man den Regkey wieder entfernen soll. Ist der bei euch noch gesetzt?
Was soll mit den im Juli gesetzten Reg Keys nach Installation des August Patches passieren, wieder entfernen?
Von MS finde ich dazu keine Aussage, vom BIS allerdings das hier:
Update 2:
IT-Sicherheitsverantwortliche sollten das Microsoft Office Defense in Depth Update [MS2023c] zeitnah installieren, um
eine Ausnutzung von CVE-2023-36884 zu verhindern. Vorher getroffene Mitigationsmaßnahmen werden durch das
Update nicht mehr benötigt.
Hat da jemand noch weitere Infos zu?
Patch installiert, Reg Key weiterhin da, läuft alles wie vorher
Ok Danke, den zustand habe ich bei mir gerade auch so. Aber wäre trotzdem gut zu wissen was da von MS die offizielle Empfehlung ist, oder?
Die FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION-Einträge sind Härtungsmaßnahmen, genauso wie die ASR-Regel. Sofern dir keine Kompatibilitätsprobleme aufgefallen sind, ist es sinnvoll, die zu belassen.
Man muss ja auch sagen: die meisten Anwender waren sowieso nicht betroffen, weil der Angriff schon vor dem Patch und auch ohne Mitigations auf der aktuellen Office-Version nicht funktioniert hat.
Nach Installation des Sicherheitsupdate für Microsoft Visio 2013 KB5002417 32bit können wir nicht mehr eine Datei speichern. Visio crashed beim Speichern.
Hat wer eine Lösung dafür?