Microsoft Outlook RCE-Schwachstelle CVE-2024-21378; im Februar 2024 gepatcht

[English]Am 13. Februar 2024 wurde mit den Sicherheitsupdates auch die Remote Code Execution-Schwachstelle CVE-2024-21378 in Microsoft Outlook geschlossen. Zum 11. März 2024 wurde nun einer tiefergehende Analyse der Schwachstelle veröffentlicht, wie ich gestern in einem Tweet gesehen habe.


Anzeige

Die Outlook Schwachstelle CVE-2024-21378

Ich hatte bereits im Blog-Beitrag Microsoft Security Update Summary (13. Februar 2024) auf die Schwachstelle CVE-2024-21378 hingewiesen. Es handelt sich um einen Remote Code Execution-Schwachstelle in Microsoft Outlook, die mit einem CVEv3 Score 8.0, important (wichtig), eingestuft wurde. Microsoft stufte diese Schwachstelle in Outlook als "Exploitation More Likely" ein.  Um diese Schwachstelle auszunutzen, müsste sich ein Angreifer mit LAN-Zugang authentifizieren und über eine gültige Anmeldung für einen Exchange-Benutzer verfügen. Wenn der Angreifer diese Voraussetzungen erfüllt, muss er den Nutzer dazu verleiten, eine präparierte Datei zu öffnen. Laut Microsoft ist das Vorschaufenster ein Angriffsvektor, d. h. die Vorschau einer speziell präparierten Datei kann die Sicherheitslücke auslösen.

Zum 13. Februar 2024 wurde dann diese Schwachstelle in allen unterstützten Office-Versionen geschlossen. Ich hatte im Beitrag Microsoft Office Updates (13. Februar 2024) darauf verwiesen, dass das Update KB5002543 diese RCE-Schwachstelle CVE-2024-21378 in den MSI-Installervarianten von Outlook 2016 schließt. Für die Click-to-Run-Varianten hat Microsoft entsprechende Updates bereitgestellt.

Mehr Details zu CVE-2024-21378

Nicolas Krassas weist in nachfolgendem Tweet darauf hin, dass nun weitergehenden Informationen zu dieser RCE-Schwachstelle in Microsoft Outlook bereitstehen. Bereits 2017 wurde von Etienne Stalmans (SensePost, Orange CyberDefense) eine Angriffsmethode publiziert, die VBScript-Code innerhalb von Outlook-Formularobjekten verwendete, um eine Codeausführung mit Zugriff auf ein Postfach zu erreichen. Als Reaktion darauf wurde Microsoft ein Patch veröffentlicht, um das Problem zu entschärfen. Die angreifbare Synchronisierungsfunktion dieser Formularobjekte wurde jedoch nie geändert. Sicherheitsforscher von NetSPI haben sich das zunutze gemacht, um diese Konstruktion auf Schwachstellen zu untersuchen. Bereits 2023 stießen sie darauf, dass Outlook auf diese Weise weiterhin angreifbar ist.

Outlook Schwachstelle CVE-2024-21378


Anzeige

Nachdem die Sicherheitsforscher Microsoft bereits 2023 informierten, stellte das Unternehmen im Februar 2024 ein Update zum Schließen der Schwachstelle bereit. Zum 11. März 2024 haben die Sicherheitsforscher mehr Details zur Schwachstelle und deren Ausnutzung im Blog-Beitrag CVE-2024-21378 — Remote Code Execution in Microsoft Outlook veröffentlicht.

Ansatzpunkt ist, dass Formulare in Outlook über MAPI mit Hilfe von IPM.Microsoft.FolderDesign.FormsDescription-Objekten synchronisiert werden. Diese Objekte enthalten spezielle Eigenschaften und Anhänge, die verwendet werden, um das Formular zu "installieren", wenn es zum ersten Mal auf einem Client verwendet wird. Die Sicherheitsforscher stellten fest, dass es ihnen möglich war, beliebige Dateien auf der Festplatte zu erstellen sowie beliebige Registrierungsschlüssel (mit Standardwerten) unter HKEY\_CLASSES\_ROOT (HKCR) zu installieren. Diese Primitive reichen aus, um auf triviale Weise eine Remote Code Execution über Microsoft Outlook auszuführen.

Bei Interesse lassen sich die Details im oben verlinkten Beitrag der Sicherheitsforscher nachlesen. Für Nutzer und Administratoren reicht aber aus, zu wissen, dass die Sicherheitsupdates von Februar 2024 zu installieren sind, um vor dieser Schwachstelle geschützt zu sein.

Ähnliche Artikel:
Microsoft Security Update Summary (13. Februar 2024)
Microsoft Office Updates (13. Februar 2024)


Anzeige

Dieser Beitrag wurde unter Office, Sicherheit, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Microsoft Outlook RCE-Schwachstelle CVE-2024-21378; im Februar 2024 gepatcht

  1. der bug ist das ziel sagt:

    aktueller windowsupdate tag, maerz 2024, bereits zwei systeme mit windows server 2019 standard, x64, deutsch…. das aktuelle monatsupdate 2024-03 schlaegt fehl.

    z.b. einmal mit errorcode: 0x80240034

    alle anderen monatsupdates der vielen vergangenen monate gingen normal durch.

    ein anderer server 2019 meldet code 0xd0000034

    p.s. inzwischen kommen bei weiteren neuversuchen an den gleichen servern nurnoch der d0000034 er fehler. an anderen servern (2019) die ich spaeter gestaret hab zum winupdate kommen jetzt sofort die 34er fehlercodes.

    microsoft ich hasse dich. ist das schon hassverbrechen? :/

    WTF?! meganerv :(

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.