{"id":220116,"date":"2019-07-04T16:05:00","date_gmt":"2019-07-04T14:05:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=220116"},"modified":"2023-12-10T13:45:10","modified_gmt":"2023-12-10T12:45:10","slug":"us-cyber-command-warnt-vor-outlook-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/07\/04\/us-cyber-command-warnt-vor-outlook-schwachstelle\/","title":{"rendered":"US Cyber Command warnt vor Outlook-Schwachstelle"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Das US Cyber Command warnt aktuell vor einer Outlook-Schwachstelle CVE-2017-11774, die l\u00e4ngst gepatcht sein k\u00f6nnte (gibt ein Update aus 2017). Hacker fahren aktuell Angriffe auf Outlook, um diese Schwachstelle auszunutzen, und verteilen Malware. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/5d3abd6744e54b40b7cfb5e39fe252fe\" width=\"1\" height=\"1\"\/>Ist hier im Blog schon <a href=\"https:\/\/borncity.com\/blog\/2019\/07\/03\/sicherheitsinfos-3-juli-2017\/#comment-74209\" target=\"_blank\" rel=\"noopener noreferrer\">als Kommentar<\/a> aufgeschlagen. Angeblich nutzen aktuell iranische Hacker eine 2017 eigentlich geschlossene Outlook-L\u00fccke <a href=\"https:\/\/web.archive.org\/web\/20230609145120\/https:\/\/www.securityweek.com\/us-cyber-command-warns-outlook-flaw-exploited-iranian-hackers\/\" target=\"_blank\" rel=\"noopener noreferrer\">f\u00fcr Angriffe<\/a>. Die Warnung des US Cyber Command kommt per Twitter:<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">USCYBERCOM has discovered active malicious use of CVE-2017-11774 and recommends immediate <a href=\"https:\/\/twitter.com\/hashtag\/patching?src=hash&amp;ref_src=twsrc%5Etfw\">#patching<\/a>. Malware is currently delivered from: 'hxxps:\/\/customermgmt.net\/page\/macrocosm' <a href=\"https:\/\/twitter.com\/hashtag\/cybersecurity?src=hash&amp;ref_src=twsrc%5Etfw\">#cybersecurity<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash&amp;ref_src=twsrc%5Etfw\">#infosec<\/a><\/p>\n<p>\u2014 USCYBERCOM Malware Alert (@CNMF_VirusAlert) <a href=\"https:\/\/twitter.com\/CNMF_VirusAlert\/status\/1146130046127681536?ref_src=twsrc%5Etfw\">2. Juli 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Man hat also festgestellt, dass die Schwachstelle CVE-2017-11774 in Outlook durch Hacker aktiv ausgenutzt wird.&nbsp; <\/p>\n<h2>Ein paar Informationen <\/h2>\n<p>Die Schwachstelle CVE-2017-11774 wurde bereits 2017 von SensePost-Forschern identifiziert und im Oktober 2017 von Microsoft gepatcht. Die Schwachstelle erlaubte es Malware, aus der Outlook-Sandbox zu entkommen und das Betriebssystem zu infizieren. Derzeit liefern Hacker \u00fcber diese Schwachstelle Malware aus. Sicherheitsanbieter FireEye legt auf Twitter nach:<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Our team spent a lot of time writing up targeted Iranian attacker <a href=\"https:\/\/twitter.com\/hashtag\/APT33?src=hash&amp;ref_src=twsrc%5Etfw\">#APT33<\/a>'s abuse of Outlook CVE-2017-11774 back in December: <a href=\"https:\/\/t.co\/RrN3eDCA0Z\">https:\/\/t.co\/RrN3eDCA0Z<\/a><\/p>\n<p>The malware families, Yara rules, &amp; hunting methods shared still apply to this attacker's current campaign (mid-June to present)<\/p>\n<p>\u2014 Nick Carr (@ItsReallyNick) <a href=\"https:\/\/twitter.com\/ItsReallyNick\/status\/1146198097112051713?ref_src=twsrc%5Etfw\">2. Juli 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die Aussage: Eine staatlich gef\u00f6rderte iranische Hackergruppe namens APT33 gelang es, die Schwachstelle im Jahr 2018 auszunutzen. Bereits im Dezember 2018 installierte APT33 Backdoors in Webservern, um die Schwachstelle auszunutzen. Die Stellungnahme von FireEye, die mir vorliegt, lautet:<\/p>\n<blockquote>\n<p><i>\u201eFireEye hat im vergangenen Jahr mehrere iranische Hacker beobachtet und Beweise daf\u00fcr ver\u00f6ffentlicht, wie sie die Outlook-Schwachstelle CVE-2017-11774 ausnutzen. FireEye weist die Merkmale in der Warnung des US Cyber Command (eine US-amerikanische Beh\u00f6rde f\u00fcr Internetsicherheit) zu CVE-2017-11774 der Gruppe APT33 zu. Die verwendeten Techniken stehen im Einklang mit dem Verhalten von APT33, wie es FireEye im ver\u00f6ffentlichten <a href=\"https:\/\/urldefense.proofpoint.com\/v2\/url?u=https-3A__www.fireeye.com_blog_threat-2Dresearch_2018_12_overruled-2Dcontaining-2Da-2Dpotentially-2Ddestructive-2Dadversary.html&amp;d=DwMGaQ&amp;c=qwStF0e4-YFyvjCeML3ehA&amp;r=FIx0guF7pArZF8iXSXHHSpdbqEnmlZpU6QvoZL2B13M&amp;m=--UtkNya3rPC7Y_uvRhAmrPkVHt5rswO7lRBNTGO1Vk&amp;s=IHuVM4a9CNsfAJuFrelx72mxpn39EJLjA8DsYKAi2NY&amp;e=\">\"OVERRULED\"-Blogpost<\/a> im Dezember 2018 beschrieben hat &#8211; sowie der aktuellen Kampagne von APT33, die im Juni identifiziert wurde und eine verst\u00e4rkte Ausrichtung auf viele in den USA ans\u00e4ssige Institutionen aufweist.<\/i>  <\/p>\n<p><i>Die Ausnutzung von CVE-2017-11774 f\u00fchrt weiterhin zu Verwirrung bei vielen Sicherheitsexperten. Wenn Outlook von b\u00f6sartigen Anwendungen befallen ist, wird h\u00e4ufig davon ausgegangen, dass der betroffene Nutzer Opfer einer Phishing-Attacke wurde &#8211; was hier jedoch nicht der Fall ist. Das Unternehmen kann wertvolle Zeit verschwenden, ohne sich auf die eigentliche Ursache zu konzentrieren. Bevor ein Gegner eine Schwachstelle ausnutzen kann, ben\u00f6tigt er g\u00fcltige Anmeldeinformationen eines Nutzers. Bei APT33 werden diese oft durch sogenanntes \u201ePassword Spraying\" erlangt. Dabei versuchen Bedroher Zugriff zu erlangen, indem sie wenige, h\u00e4ufig verwendeten Passw\u00f6rtern bei einer gro\u00dfen Anzahl von Konten ausprobieren.<\/i>  <\/p>\n<p><i><\/i> <\/p>\n<p><i>Seit mindestens einem Jahr nutzen die Gruppen APT33 und APT34 diese Technik mit Erfolg \u2013 aufgrund der fehlenden geeigneten Zugriffskontrollen in Unternehmen f\u00fcr E-Mails wie Multi-Faktor-Authentisierung und Patches f\u00fcr E-Mail-Anwendungen in Bezug auf CVE-2017-11774.\" <\/i><\/p>\n<\/blockquote>\n<h2>Patch f\u00fcr CVE-2017-11774 aus 2017<\/h2>\n<p>Klingt auf den ersten Blick nach 'sind die Leute nur doof, dass die nicht patchen'. Ich habe im Blog nach CVE-2017-11774 gesucht und bin auf den Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/10\/27\/fix-outlook-mail-bug-in-kb4011089-kb4011090-kb4011091\/\">Fix: Outlook-Mail-Bug in KB4011089, KB4011090, KB4011091<\/a> gesto\u00dfen. Mit den urspr\u00fcnglichen Patches gab es wohl Probleme, die erst sp\u00e4ter mit revidierten Updates behoben wurden. Einige Leute haben dann diese Updates nicht mehr eingespielt. Also: Patcht euer Outlook (siehe <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2017-11774\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2017-11774<\/a>), falls noch nicht geschehen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das US Cyber Command warnt aktuell vor einer Outlook-Schwachstelle CVE-2017-11774, die l\u00e4ngst gepatcht sein k\u00f6nnte (gibt ein Update aus 2017). Hacker fahren aktuell Angriffe auf Outlook, um diese Schwachstelle auszunutzen, und verteilen Malware.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[215,4328],"class_list":["post-220116","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-outlook","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220116","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=220116"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220116\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=220116"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=220116"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=220116"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}