{"id":278981,"date":"2023-03-24T11:19:15","date_gmt":"2023-03-24T10:19:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278981"},"modified":"2023-03-25T06:14:53","modified_gmt":"2023-03-25T05:14:53","slug":"outlook-schwachstelle-cve-2023-23397-nicht-vollstndig-gepatcht-absicherung-erforderlich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/24\/outlook-schwachstelle-cve-2023-23397-nicht-vollstndig-gepatcht-absicherung-erforderlich\/","title":{"rendered":"Outlook-Schwachstelle CVE-2023-23397 nicht vollständig gepatcht – Absicherung erforderlich"},"content":{"rendered":"

[English<\/a>]Noch ein kurzer Nachtrag zum M\u00e4rz 2023-Patchday. Microsoft hat zum 14. M\u00e4rz 2023 die kritische RCE-Schwachstelle CVE-2023-23397 in Outlook zwar mit einem Sicherheitsupdate versehen. Aber der Patch ist unvollst\u00e4ndig, der Angriff kann weiterhin mit etwas modifizierten E-Mails immer noch ausgel\u00f6st werden. Und inzwischen ist ein Proof of Concept \u00f6ffentlich, was demonstriert, wie die Schwachstelle ausgenutzt wird.<\/p>\n

<\/p>\n

Kritische RCE-Schwachstelle CVE-2023-23397<\/h2>\n

\"\"In Microsoft Outlook gibt es eine kritische Schwachstelle CVE-2023-23397<\/a><\/u>, die eine Rechteauswertung durch Dritte erm\u00f6glicht. Diese Elevation of Privilege-Schwachstelle (EvP) wird als extrem kritisch eingestuft, und hat den CVEv3-Score von 9.8 erhalten. Das Problem: Angreifer k\u00f6nnen eine b\u00f6sartige E-Mail an eine anf\u00e4llige Version von Outlook senden. Sobald Outlook diese Mail empf\u00e4ngt, kann (ohne Zutun des Nutzers) eine Verbindung zu einem vom Angreifer kontrollierten Ger\u00e4t hergestellt werden.<\/p>\n

Der Angreifer kann so den Net-NTLMv2-Hash des E-Mail-Empf\u00e4ngers abgreifen (siehe auch diesen Artikel<\/a> aus 2019 mit Erkl\u00e4rungen). Dieser Hash erm\u00f6glicht einem Angreifer sich in einem NTLM-Relay-Angriff als Empf\u00e4nger des Opfers zu authentifizieren. Diese Schwachstelle wird seit Mitte April 2022 durch russische Angreifer aktiv ausgenutzt (siehe auch diesen Beitrag<\/a> von deep instinct, der F\u00e4lle aufzeigt). Es sieht so aus, als ob auch andere Angreifer diese Schwachstelle ausnutzen (siehe diesen Palo Alto Networks-Artikel<\/a>).<\/p>\n

PoC verf\u00fcgbar, patchen angesagt<\/h2>\n

Am 22. M\u00e4rz 2023 hat ein Sicherheitsforscher ein Proof of Concept (PoC) zur Ausnutzung der Schwachstelle in einem Video auf Twitter<\/a> demonstriert (einfach nachfolgendes Bild anklicken, um das Video auf Twitter abzuspielen – oder auf der GitHub-Seite abrufen) und den Code daf\u00fcr auf Github ver\u00f6ffentlicht<\/a>.<\/p>\n

\"PoC<\/a><\/p>\n

Aktuell liest man nur, dass Administratoren und Nutzer die unterst\u00fctzten Outlook-Versionen (z.B. Outlook 2013 und 2016) patchen sollen. Ich hatte sowohl im Blog-Beitrag Outlook wegen kritischer Schwachstelle CVE-2023-23397 patchen<\/a> als auch in weiteren Beitr\u00e4gen (siehe Linkliste am Artikelende) auf diese Schwachstelle hingewiesen.<\/p>\n

Wenn ich es richtig einsortiere, ist das vor allem ein Problem in Unternehmensumgebungen, wo der erbeutete Net-NTLMv2-Hash des E-Mail-Empf\u00e4ngers f\u00fcr eine laterale Bewegung in den IT-Netzwerken mit Microsoft Servern missbraucht werden k\u00f6nnte.<\/p>\n

Schwachstelle unvollst\u00e4ndig gepatcht<\/h2>\n

Problem bei den ganzen Patch-Aufforderungen ist, dass Microsoft den Angriffsvektor f\u00fcr die RCE-Schwachstelle CVE-2023-23397 nicht vollst\u00e4ndig geschlossen hat. Blog-Leser 1ST1 weist in diesem Kommentar<\/a> darauf hin (danke daf\u00fcr). Dominic Chell demonstriert in nachfolgendem Tweet<\/a> im eingebetteten Video (Bild anklicken und das Video auf Twitter abrufen) die weiterhin bestehende M\u00f6glichkeit, das Ganze weiterhin auszunutzen.<\/p>\n

\"Outlook<\/a><\/p>\n

An dieser Stelle bleibt f\u00fcr Administratoren die Frage, was man nun noch tun kann. Ich verweise auf den Microsoft-Beitrag zu CVE-2023-23397<\/a>, wo es am Abschnitt \"Mitigations\" hei\u00dft:<\/p>\n