{"id":278749,"date":"2023-03-16T10:49:49","date_gmt":"2023-03-16T09:49:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278749"},"modified":"2023-03-16T15:16:06","modified_gmt":"2023-03-16T14:16:06","slug":"outlook-wegen-kritischer-schwachstelle-cve-2023-23397-patchen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/16\/outlook-wegen-kritischer-schwachstelle-cve-2023-23397-patchen\/","title":{"rendered":"Outlook wegen kritischer Schwachstelle CVE-2023-23397 patchen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Office1.jpg\" width=\"55\" height=\"60\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/03\/16\/patch-critical-evp-vulnerability-cve-2023-23397-in-outlook\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]In Microsoft Outlook gibt es eine kritische Schwachstelle CVE-2023-23397, die eine Rechteauswertung durch Dritte erm\u00f6glicht. Diese Schwachstelle wird seit Mitte April 2022 durch russische Angreifer aktiv ausgenutzt. Benutzer und Administratoren sollten unverz\u00fcglich die Sicherheitsupdates f\u00fcr Outlook, die Microsoft bereitstellt, installieren. Im Rahmen einer Patchday-Nachlese fasse ich in diesem Beitrag einige Informationen zusammen.<\/p>\n<p><!--more--><\/p>\n<h2>Outlook-Schwachstelle CVE-2023-23397<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/a74700858bde46a681ae9d9036292118\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte bereits im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/03\/15\/microsoft-security-update-summary-14-mrz-2023\/\">Microsoft Security Update Summary (14. M\u00e4rz 2023)<\/a> auf die als kritisch eingestufte Schwachstelle <u><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2023-23397\" target=\"_blank\" rel=\"noopener\">CVE-2023-23397<\/a>\u00a0<\/u>in Microsoft Outlook hingewiesen. Es handelt sich um eine Elevation of Privilege-Schwachstelle (EvP), die den CVEv3-Score von 9.8 erhalten hat, also extrem kritisch eingestuft wird.<\/p>\n<p>Angreifer k\u00f6nnen eine b\u00f6sartige E-Mail an eine anf\u00e4llige Version von Outlook senden. Wenn die E-Mail vom Server geladen und im Client verarbeitet wird, kann eine Verbindung zu einem vom Angreifer kontrollierten Ger\u00e4t hergestellt werden, um den Net-NTLMv2-Hash des E-Mail-Empf\u00e4ngers auszusp\u00e4hen. Der Angreifer kann diesen Hash verwenden, um sich in einem NTLM-Relay-Angriff als Empf\u00e4nger des Opfers zu authentifizieren, hei\u00dft es bei Microsoft.<\/p>\n<p>Microsoft weist in seinen Dokumenten darauf hin, dass diese Schwachstelle ausgenutzt werden kann, bevor die E-Mail im Vorschaufenster angezeigt wird. Ein erfolgreicher Angriff erfordert also keine Interaktion des Empf\u00e4ngers.<\/p>\n<blockquote><p>Ich hatte bereits zum 9. M\u00e4rz 2023 im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/03\/09\/kritische-rtf-schwachstelle-cve-2023-21716-proof-of-concept-fr-word-outlook-auch-betroffen\/\">Kritische RTF-Schwachstelle CVE-2023-21716: Proof of Concept f\u00fcr Word; Outlook auch betroffen<\/a> auf eine \u00e4hnliche RCE-Schwachstelle CVE-2023-21716 in Word hingewiesen, die auch Outlook betrifft. Hintergrund ist in diesem Fall die Unterst\u00fctzung von RTF-Dateien in den genannten Anwendungen. Die aktuelle Schwachstelle ist zwar anders gelagert, zeigt aber, wie Anf\u00e4llig Mail-Anwendungen wie Microsoft Outlook unter Windows sind.<\/p><\/blockquote>\n<h2>Updates und Exchange Pr\u00fcfscript vorhanden<\/h2>\n<p>Microsoft hat zum 14. M\u00e4rz 2023 Sicherheitsupdates <a href=\"https:\/\/support.microsoft.com\/de-de\/topic\/description-of-the-security-update-for-outlook-2016-march-14-2023-kb5002254-a2a882e6-adad-477a-b414-b0d96c4d2ce3\" target=\"_blank\" rel=\"noopener\">f\u00fcr Outlook 2016 (KB5002254)<\/a> und <a href=\"https:\/\/support.microsoft.com\/de-de\/topic\/description-of-the-security-update-for-outlook-2013-march-14-2023-kb5002265-a9d93b9d-21d1-4c5c-a9c0-0f911dde6659\" target=\"_blank\" rel=\"noopener\">f\u00fcr Outlook 2013 (KB5002265)<\/a> dazu ver\u00f6ffentlicht (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/03\/16\/patchday-microsoft-office-updates-14-mrz-2023\/\">Patchday: Microsoft Office Updates (14. M\u00e4rz 2023)<\/a>). \u00c4ltere, nicht mehr im Support befindliche Outlook-Versionen (z.B. Outlook 2010) sind damit nicht mehr patchbar und lassen sich angreifen.<\/p>\n<p>Eine Liste aller Outlook-Updates vom 14. M\u00e4rz 2023 findet sich unter\u00a0<a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2023-23397\" target=\"_blank\" rel=\"noopener\">CVE-2023-23397<\/a>. Dort sind auch die Updates der Click-2-Run-Versionen f\u00fcr Outlook 2016, Outlook 2019 und Outlook 2021 sowie Microsoft 365 (Office 365) zu finden. Diese werden aber \u00fcber Office\/Outlook und nicht per Windows Update verteilt.<\/p>\n<h3>Das Exchange-Pr\u00fcfscript von Microsoft<\/h3>\n<p>Microsoft hatte Exchange-Administratoren zum M\u00e4rz 2023 Patchday auf die Schwachstelle hingewiesen und ein Pr\u00fcfscript ver\u00f6ffentlicht (siehe den Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/03\/15\/exchange-server-sicherheitsupdates-14-mrz-2023\/\">Exchange Server Sicherheitsupdates (14. M\u00e4rz 2023)<\/a>). Das Pr\u00fcftscript <a href=\"https:\/\/microsoft.github.io\/CSS-Exchange\/Security\/CVE-2023-23397\/\" target=\"_blank\" rel=\"noopener\">CVE-2023-23397.ps1<\/a> \u00fcberpr\u00fcft alle Exchange Messaging-Elemente (E-Mail, Kalender und Aufgaben), ob eine Eigenschaft mit einem UNC-Pfad gef\u00fcllt ist.<\/p>\n<p>Falls erforderlich, k\u00f6nnen Administratoren dieses Skript verwenden, um die Eigenschaft f\u00fcr Elemente zu bereinigen, die b\u00f6sartig sind, oder die Elemente sogar dauerhaft zu l\u00f6schen. Es gibt zwei Modi f\u00fcr das Skript:<\/p>\n<ul>\n<li>\u00dcberpr\u00fcfungsmodus: Das Skript liefert eine CSV-Datei mit Details zu den Objekten, bei denen die Eigenschaft ausgef\u00fcllt ist.<\/li>\n<li>Bereinigungsmodus: Das Skript bereinigt die erkannten Eintr\u00e4ge, indem es entweder die Eigenschaft l\u00f6scht oder den Eintrag l\u00f6scht.<\/li>\n<\/ul>\n<p>Details finden sich in diesem bereits verlinkten <a href=\"https:\/\/microsoft.github.io\/CSS-Exchange\/Security\/CVE-2023-23397\/\" target=\"_blank\" rel=\"noopener\">Beitrag<\/a>. Beachtet aber die nachfolgenden Hinweise auf a) die 30 Tage max. Verweildauer gel\u00f6schter Nachrichten in Exchange und b) auf false positive Meldungen des Scripts.<\/p>\n<h2>Weitere Details und Schutz vor der Ausnutzung<\/h2>\n<p>Microsoft hat im Beitrag zu <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2023-23397\" target=\"_blank\" rel=\"noopener\">CVE-2023-23397<\/a> einige Details zur Ausnutzung dieser Schwachstelle erl\u00e4utert. Laut <a href=\"https:\/\/msrc.microsoft.com\/blog\/2023\/03\/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability\/\" target=\"_blank\" rel=\"noopener\">diesem separaten Blog-Beitrag<\/a> kann ein Angreifer eine Nachricht mit einer erweiterten MAPI-Eigenschaft mit einem UNC-Pfad zu einer SMB-Freigabe (TCP 445) auf einem von einem Bedrohungsakteur kontrollierten Server senden. Es ist keine Benutzerinteraktion erforderlich, um dann eine Rechteerweiterung (EoP) zu erlangen.<\/p>\n<p>Die Verbindung zum entfernten SMB-Server sendet die NTLM-Aushandlungsnachricht des Benutzers. Diese kann der Angreifer dann zur Authentifizierung an andere Systeme weiterleiten. Auf Naked-Security werden in <a href=\"https:\/\/nakedsecurity.sophos.com\/2023\/03\/15\/microsoft-fixes-two-0-days-on-patch-tuesday-update-now\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> einige Details zu den LTLM2-Daten aufgedeckt.<\/p>\n<p>Erforderlich ist, dass diese System die NTLM-Authentifizierung unterst\u00fctzen.<\/p>\n<blockquote><p>Online-Dienste wie Microsoft 365 unterst\u00fctzen die NTLM-Authentifizierung nicht und sind nicht anf\u00e4llig f\u00fcr Angriffe durch diese Nachrichten. Das Gleiche gilt, sofern OWA (Outlook Web App) verwendet wird. Andere Versionen von Microsoft Outlook f\u00fcr Android, iOS und Mac sowie und andere Microsoft365-Dienste sind ebenfalls nicht betroffen.<\/p><\/blockquote>\n<p>In <a href=\"https:\/\/www.mdsec.co.uk\/2023\/03\/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability\/\" target=\"_blank\" rel=\"noopener\">diesem MD-Blog-Beitrag<\/a> finden sich noch einige weitere Details zur Schwachstelle. So wird die Eigenschaft <a href=\"https:\/\/learn.microsoft.com\/en-us\/office\/client-developer\/outlook\/mapi\/pidlidreminderoverride-canonical-property\" target=\"_blank\" rel=\"noopener\">PidLidReminderOverride<\/a> missbraucht, um Outlook zu veranlassen, die b\u00f6sartige UNC im<em> idLidReminderFile<\/em>-Parameter zu analysieren. Der Sicherheitsforscher hat die gewonnenen Erkenntnisse verwendet, um einen einfachen Exploit zu erstellen. Der Autor des Beitrag demonstriert in einem Video, wie der Exploit eine eingehende Anfrage an LDAP weiterleitet, um ein Shadow Credential zu erhalten.<\/p>\n<p>Kunden k\u00f6nnen den WebClient-Dienst auf ihren Rechnern deaktivieren, oder den TCP\/445-Datenverkehr blockieren, um die Ausnutzung der Schwachstelle zu verhindern. Das ist aber nur machbar, sofern keine WebDAV-Verbindungen verwendet werden m\u00fcssen. Microsoft hat im Beitrag <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2023-23397\" target=\"_blank\" rel=\"noopener\">CVE-2023-23397<\/a> konkrete Vorschl\u00e4ge dazu gemacht.<\/p>\n<p><a href=\"https:\/\/twitter.com\/delivr_to\/status\/1636074273478459395\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Yara Rule\" src=\"https:\/\/i.imgur.com\/RDyf4Cx.png\" alt=\"Yara Rule\" \/><\/a><\/p>\n<p>Erg\u00e4nzung: Gem\u00e4\u00df obigem <a href=\"https:\/\/twitter.com\/delivr_to\/status\/1636074273478459395\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> gibt es eine Yara-Regel, die den PidLidReminderFile-Parameter in einer msg Appointment-Datei identifiziert. Details finden sich auf <a href=\"https:\/\/github.com\/delivr-to\/detections\/blob\/main\/yara-rules\/msg_cve_2023_23397.yar\" target=\"_blank\" rel=\"noopener\">GitHub<\/a>.<\/p>\n<h2>Schwachstelle wird ausgenutzt<\/h2>\n<p>Die Entdeckung der Schwachstelle sowie deren Ausnutzung erfolgte durch das Computer Emergency Response Team der Ukraine (CERT-UA) und Microsoft. Microsoft hat am 14. M\u00e4rz 2023 einen <a href=\"https:\/\/msrc.microsoft.com\/blog\/2023\/03\/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability\/\">Blog-Beitrag<\/a> \u00fcber die Entdeckung dieser Sicherheitsl\u00fccke ver\u00f6ffentlicht \u2013 ein russischer Bedrohungsakteur nutzt die Schwachstelle aus.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/6nsCG2f.png\" \/><\/p>\n<p>Obiger Tweet weist auf <a href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/microsoft-fixes-outlook-zero-day-used-by-russian-hackers-since-april-2022\/\" target=\"_blank\" rel=\"noopener\">diesen Artikel<\/a> der Kollegen von Bleeping Computer hin. Diese konnten Informationen aus einer Bedrohungsanalyse einsehen, die Kunden mit einem Abonnement von Microsoft 365 Defender, Microsoft Defender for Business oder Microsoft Defender for Endpoint Plan 2 bereitgestellt wurde.<\/p>\n<p>Aus der Analyse geht hervor, das russische Hackergruppe Fancy Bear (auch als APT28, STRONTIUM, Sednit und Sofacy bekannt) pr\u00e4parierte Outlook-Nachrichten (und Aufgaben) verschickt hat, um die erw\u00e4hnten NTLM-Hashes \u00fcber die NTLM-Aushandlung zu stehlen. Die Angriffe mit Ausnutzung der Sicherheitsl\u00fccke fanden um zwischen Mitte April und Dezember 2022 statt. Den Angreifern gelang es, in die Netzwerke von weniger als 15 Regierungs-, Milit\u00e4r-, Energie- und Transportunternehmen einzudringen. Anschlie\u00dfend wurden die gestohlenen Anmeldeinformationen wurden f\u00fcr laterale Bewegungen innerhalb der Netzwerke der Opfer und zum \u00c4ndern der Berechtigungen f\u00fcr Outlook-Postfachordner verwendet.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2023\/03\/15\/microsoft-security-update-summary-14-mrz-2023\/\">Microsoft Security Update Summary (14. M\u00e4rz 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/03\/15\/patchday-windows-10-updates-14-mrz-2023\/\">Patchday: Windows 10-Updates (14. M\u00e4rz 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/03\/15\/patchday-windows-11-server-2022-updates-14-mrz-2023\/\">Patchday: Windows 11\/Server 2022-Updates (14. M\u00e4rz 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/03\/15\/windows-7-server-2008-r2-server-2012-r2-updates-14-mrz-2023\/\">Windows 7\/Server 2008 R2; Server 2012 R2: Updates (14. M\u00e4rz 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/03\/16\/patchday-microsoft-office-updates-14-mrz-2023\/\">Patchday: Microsoft Office Updates (14. M\u00e4rz 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/03\/15\/exchange-server-sicherheitsupdates-14-mrz-2023\/\">Exchange Server Sicherheitsupdates (14. M\u00e4rz 2023)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In Microsoft Outlook gibt es eine kritische Schwachstelle CVE-2023-23397, die eine Rechteauswertung durch Dritte erm\u00f6glicht. Diese Schwachstelle wird seit Mitte April 2022 durch russische Angreifer aktiv ausgenutzt. Benutzer und Administratoren sollten unverz\u00fcglich die Sicherheitsupdates f\u00fcr Outlook, die Microsoft bereitstellt, installieren. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/03\/16\/outlook-wegen-kritischer-schwachstelle-cve-2023-23397-patchen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,185],"tags":[4322,215,8379,4328,4315],"class_list":["post-278749","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-update","tag-office","tag-outlook","tag-patchday-3-2023","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278749","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278749"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278749\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278749"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278749"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278749"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}