[English]Bei CVE-2023-23397 handelt es sich um eine Schwachstelle in Microsoft Outlook, die in Verbindung mit Microsoft Exchange Servern ausgenutzt werden konnte, die im März 2023 mit Sicherheitsupdates geschlossen wurde. Nun hat Microsoft einen in Russland ansässigen Angreifer identifiziert, der aktiv CVE-2023-23397 ausnutzt, um einen nicht autorisierten Zugriff auf E-Mail-Konten in Exchange-Servern zu erhalten. Das kann dann für NTLM-Relay-Angriffe gegen andere Dienste verwendet werden. Der russische Angreifer wird von Microsoft als Forest Blizzard (STRONTIUM, APT28, FANCYBEAR) bezeichnet.
Anzeige
Outlook-Schwachstelle CVE-2023-23397
Bei CVE-2023-23397 handelt es sich um eine "Elevation of Privilege"-Schwachstelle in Microsoft Outlook, die von Microsoft als kritisch eingestuft und hier beschrieben wurde. Der Angriff kann aus speziell präparierten E-Mail heraus stattfinden. Die als kritische eingestufte Schwachstelle (CVEv3-Score von 9.8) ermöglicht (nur in Verbindung mit Microsoft Exchange) eine Rechteauswertung durch Dritte. Angreifer können eine bösartige E-Mail an eine anfällige Version von Outlook senden. Sobald Outlook diese Mail (über Exchange) empfängt, kann (ohne Zutun des Nutzers) eine Verbindung zu einem vom Angreifer kontrollierten Gerät hergestellt werden.
Angreifer haben über die Schwachstelle dann die Möglichkeit, auf den Net-NTLMv2-Hash von Nutzern zugreifen. Dieser Hash-Wert kann als Grundlage für einen NTLM-Relay-Angriff gegen einen anderen Dienst verwendet werden, um sich als diese Nutzer zu authentifizieren. Ich hatte im Blog erstmals in den Beiträgen Patchday: Microsoft Office Updates (14. März 2023), Exchange Server Sicherheitsupdates (14. März 2023) und Outlook wegen kritischer Schwachstelle CVE-2023-23397 patchen über dieses Thema berichtet. Allerdings stellte sich dann heraus, dass der Patch nur unvollständig war (siehe Outlook-Schwachstelle CVE-2023-23397 nicht vollständig gepatcht – Absicherung erforderlich).
Russische Angreifer nutzen CVE-2023-23397 aus
Ende März 2023 habe ich den Blog-Beitrag Leitfaden von Microsoft zur Outlook-Schwachstelle CVE-2023-23397 mit weiteren Hinweisen Microsofts zur Absicherung nachgeschoben. Bereits in diesem Blog-Beitrag hatte ich erwähnt, dass diese Schwachstelle seit Mitte April 2022 durch russische Angreifer aktiv ausgenutzt wird (siehe auch diesen Beitrag von deep instinct, der Fälle aufzeigt). Laut diesem Palo Alto Networks-Artikel haben auch andere Angreifer diese Schwachstelle ausgenutzt.
Anzeige
Microsoft hat nun zum 4. Dezember 2023 im Beitrag Guidance for investigating attacks using CVE-2023-23397 (siehe auch obiger Tweet) offen gelegt, dass man staatlich gesponsorte Cyberangreifer identifiziert habe, die diese Schwachstelle ausnutzen. Die nationalstaatlichen Angreifer werden von Microsoft als Forest Blizzard bezeichnet. Diese Gruppe, die ihren Sitz in Russland hat, ist auch unter Namen wie STRONTIUM, APT28 oder FANCYBEAR bekannt.
Microsoft hat mit dem polnische Cyberkommando (DKWOC) kooperiert, um gegen die Forest Blizzard-Akteure vorzugehen und die von den Akteuren verwendeten Techniken zu identifizieren sowie Abwehrmaßnahmen zu entwickeln. Benutzer sollten sicherstellen, dass Microsoft Outlook gepatcht und auf dem neuesten Stand gehalten wird, um diese Bedrohung zu entschärfen. Bei Microsoft Outlook 2013, was im März 2023 noch im Support war, ist aber jetzt das End of Life erreicht, so dass dieser Client nicht mehr eingesetzt werden sollte.
Der Microsoft Defender XDR erkennt die Ausnutzung und bekannte Aktivitäten nach der Kompromittierung der Systeme über die Schwachstelle CVE-2023-23397. Microsoft hat den älteren Beitrag Guidance for investigating attacks using CVE-2023-23397 um weitere Details und neue Erkenntnisse ergänzt.
Ähnliche Artikel:
Outlook wegen kritischer Schwachstelle CVE-2023-23397 patchen
Patchday: Microsoft Office Updates (14. März 2023)
Exchange Server Sicherheitsupdates (14. März 2023)
Outlook-Schwachstelle CVE-2023-23397 nicht vollständig gepatcht – Absicherung erforderlich
Leitfaden von Microsoft zur Outlook-Schwachstelle CVE-2023-23397
Anzeige
Hätte gerne gewußt, wie Microsoft die Angriffe auf die Gruppe, die sie Forrest Blizzard nennen, zurückgeführt haben will. leider geben die Links dazu keine Informationen, sondern nur Behauptungen, die man glauben kann oder auch nicht. Die Überschrift mit "identifiziert" ist in sofern ungenau. "behauptet" wäre ein besseres Wort.
Das muss der Russe gewesen sein, alternativ der Chinese. Das müsstest du doch langsam mitbekommen haben. Frag doch nicht immer nach Fakten.
Aber mal im Ernst immer wenn es um Hacker geht ist doch die erste Vermutung dass es staatliche Hacker aus diesen Ländern sind. Auch wenn es keinerlei Beweise gibt. Huawei wurde auch aus den Netzwerken verbannt ohne dass es einen Beweis für Spionage gab, Cisco mit so vielen bekannten Hintertüren aber nicht. Es ist halt wichtig wer schnüffelt, wenn es die "Guten" sind ist es ok.
Es erinnert mich nach wie vor an den Vorfall der TR-069 Attacke auf Telekom Router im Jahr 2016. Damals wurde auch sofort auf Russland gezeigt, und man behauptete, sie seien die Schuldigen – ohne jegliche Beweise, wie es oft der Fall ist. Ironischerweise stellte sich heraus, dass nur eine einzige Person aus England dahintersteckte. Nebenbei werden auch regelmäßig Angriffe auf Banken und Infrastrukturen in Russland gemeldet, wenn auch nur am Rande in der Nischenpresse. Es ist anzunehmen, dass diese Angriffe nicht von "staatlichen" russischen Hackern durchgeführt werden, sondern eher von anderen Staaten, von denen bekannt ist, dass sie den Russen in nichts nachstehen und nicht mal halt vor Verbündeten machen.
Das kann immer noch aktiv ausgenutzt werden?
Im März 2023 gabs doch für Exchange 2013/2016/2019 einen Patch, der die Lücke schließt und so auch ungepatchte Outlook-Versionen schützt.
Wenn man zudem den Port 445 ausgehend in der Firewall schließt, ist CVE-2023-23397 nicht mehr ausnutzbar.
Das Problem betrifft also nur ungepatchte Exchange-Instanzen in Verbindung mit alten oder ungepatchten Outlook-Instanzen und Systeme mit offenem Port 445.
Also eindeutig ein Fall von IT im Tiefschlaf!
Wie in dem Guide von Microsoft zu CVE-2023-23397 steht, wird wenn über SMB Port 445 keine Verbindung möglich ist, ein Fallback auf WebDAV stattdessen gemacht. Allerdings können dann darüber keine Net-NTLMv2 hashes gesendet werden.