{"id":279057,"date":"2023-03-28T07:30:00","date_gmt":"2023-03-28T05:30:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=279057"},"modified":"2023-03-28T08:15:29","modified_gmt":"2023-03-28T06:15:29","slug":"leitfacen-von-microsoft-zur-outlook-schwachstelle-cve-2023-23397","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/28\/leitfacen-von-microsoft-zur-outlook-schwachstelle-cve-2023-23397\/","title":{"rendered":"Leitfaden von Microsoft zur Outlook-Schwachstelle CVE-2023-23397"},"content":{"rendered":"

[English<\/a>]Microsoft kommt wegen der kritischen Outlook-Schwachstelle CVE-2023-23397 nicht zur Ruhe. Auch wenn es zum 14. M\u00e4rz 2023 einen Patch gab, ist die Schwachstelle nicht 100 Prozent geschlossen. Ende letzter Woche hat Microsoft einen Artikel zur Unterst\u00fctzung von Kunden ver\u00f6ffentlicht, die ihre Systeme auf Anzeichen einer Kompromittierung durch Ausnutzung der gepatchten Outlook-Zero-Day-Schwachstelle untersuchen m\u00f6chten.<\/p>\n

<\/p>\n

Die RCE-Schwachstelle CVE-2023-23397<\/h2>\n

\"\"Die als kritische eingestufte Schwachstelle CVE-2023-23397<\/a><\/u> in Microsoft Outlook erm\u00f6glicht eine Rechteauswertung durch Dritte (in Verbindung mit Microsoft Exchange). Angreifer k\u00f6nnen eine b\u00f6sartige E-Mail an eine anf\u00e4llige Version von Outlook senden. Sobald Outlook diese Mail (\u00fcber Exchange) empf\u00e4ngt, kann (ohne Zutun des Nutzers) eine Verbindung zu einem vom Angreifer kontrollierten Ger\u00e4t hergestellt werden.<\/p>\n

Der Angreifer kann so den Net-NTLMv2-Hash des E-Mail-Empf\u00e4ngers abgreifen (siehe auch diesen Artikel<\/a> aus 2019 mit Erkl\u00e4rungen). Dieser Hash erm\u00f6glicht einem Angreifer sich in einem NTLM-Relay-Angriff als Empf\u00e4nger des Opfers zu authentifizieren.<\/p>\n

\"Outlook<\/a><\/p>\n

Diese Schwachstelle wird seit Mitte April 2022 durch russische Angreifer aktiv ausgenutzt (siehe auch diesen Beitrag<\/a> von deep instinct, der F\u00e4lle aufzeigt). Es sieht so aus, als ob auch andere Angreifer diese Schwachstelle ausnutzen (siehe diesen Palo Alto Networks-Artikel<\/a>). Obiger Tweet<\/a> gibt an, dass die E-Mail, die die Outlook Schwachstelle CVE-2023-23397 in freier Wildbahn ausnutzte, bereits am 1. April 2022 an VirusTotal \u00fcbermittelt wurde. Die Mail zielte auf den staatlichen Migrationsdienst der Ukraine ab.<\/p>\n

Schwachstelle unzureichend gepatcht<\/h2>\n

Diese Elevation of Privilege-Schwachstelle (EvP) wurde mit dem CVEv3-Score von 9.8 als extrem kritisch eingestuft. Microsoft hatte dann am 14. M\u00e4rz 2023 einen Patch ver\u00f6ffentlicht (siehe Outlook wegen kritischer Schwachstelle CVE-2023-23397 patchen<\/a>). Allerdings stellte sich die Tage heraus, dass der Patch die Schwachstelle nicht komplett beseitigt. Will Dormann hat bereits am 17. M\u00e4rz 2023 in folgendem Tweet<\/a> darauf hingewiesen, dass sich die Schwachstellen auch mit einem Patch \u00fcber SMB-Freigaben triggern lasse.<\/p>\n

<\/a><\/p>\n

In einem weiteren Tweet<\/a> weist Dormann darauf hin, dass es auch Domains gebe, die keinen Punkt im Namen haben, wodurch sich der Fix von Microsoft ebenfalls leicht umgehen lassen k\u00f6nne.<\/p>\n

\"<\/a><\/p>\n

Inzwischen probieren viele Sicherheitsforscher verschiedene Szenarien zur Ausnutzung der Schwachstelle aus. Will Dormann diskutiert in einer Folge von Tweets<\/a> verschiedene Fragestellungen (z.B. Angriff \u00fcber einen Outlook-Kalendereintrag). Nachfolgender Tweet von gestern skizziert das Problem erneut – der Sicherheitsforscher hat ein Proof of Concept (PoC) zur Ausnutzung in einem Netzwerk erstellt.<\/p>\n

\"Outlook<\/a><\/p>\n

Ich hatte diese Problematik des unvollst\u00e4ndigen Patches bereits vorige Woche im Blog-Beitrag Outlook-Schwachstelle CVE-2023-23397 nicht vollst\u00e4ndig gepatcht \u2013 Absicherung erforderlich<\/a> aufgegriffen und auch weitere Ma\u00dfnahmen zum H\u00e4rten der Systeme skizziert.<\/p>\n

Microsofts Hilfestellung f\u00fcr Untersuchungen<\/h2>\n

Ende letzter Woche hat das Sicherheitsteam von Microsoft dann einen Artikel Guidance for investigating attacks using CVE-2023-23397<\/a> ver\u00f6ffentlicht – siehe auch folgender Tweet<\/a> – den Kollegen hier<\/a> ist das ebenfalls aufgefallen. Der Artikel fungiert als Leitfaden, der Schritte\u00a0 enth\u00e4lt, mit denen Unternehmen feststellen k\u00f6nnen, ob Benutzer bzw. Systemen bereits \u00fcber CVE-2023-23397 angegriffen oder kompromittiert wurden.<\/p>\n

\"Microsoft<\/a><\/p>\n

Eine erfolgreiche Ausnutzung dieser Schwachstelle kann zu einem nicht autorisierten Zugriff auf die Umgebung einer Organisation f\u00fchren, indem ein Net-NTLMv2-Hash-Leck ausgel\u00f6st wird. Microsoft widmet sich daher im Artikel detaillierter der Frage, wie die Schwachstelle von Bedrohungsakteuren ausgenutzt werden kann. Microsoft hatte zwar ein Script ver\u00f6ffentlicht, mit dem auf Exchange-Servern angeblich gepr\u00fcft werden kann, ob ein Angriff stattgefunden habe (siehe Exchange Server Sicherheitsupdates (14. M\u00e4rz 2023)<\/a>). Problem ist aber, dass das Script bereits gel\u00f6schte E-Mails nicht sieht – man also keine wirkliche Aussage bekommt, ob das System nicht doch kompromittiert ist.<\/p>\n

Microsoft geht daher im Leitfaden auf weitere \"indicators of compromise\" im Hinblick auf diese Outlook-Schwachstelle ein, an denen ein Angriff bemerkt werden k\u00f6nnte. Das umfasst log-Dateien, Telemetriedaten und auch m\u00f6gliche Manipulationen der Registrierung, die durch Sicherheitsteams kontrolliert werden k\u00f6nnen. In kompromittierten Umgebungen sind m\u00f6glicherweise Berechtigungen zum Zugriff auf Postf\u00e4cher von Exchange EWS\/OWA-Benutzern ver\u00e4ndert worden, um einen\u00a0 dauerhaften Zugriff zu erhalten. Wer in diesem Bereich unterwegs ist, findet im\u00a0 Artikel Guidance for investigating attacks using CVE-2023-23397<\/a> einiges an Lesestoff bzw. Hinweise zur Untersuchung der Systeme.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nOutlook wegen kritischer Schwachstelle CVE-2023-23397 patchen<\/a>
\nPatchday: Microsoft Office Updates (14. M\u00e4rz 2023)<\/a>
\nExchange Server Sicherheitsupdates (14. M\u00e4rz 2023)<\/a>
\nOutlook-Schwachstelle CVE-2023-23397 nicht vollst\u00e4ndig gepatcht \u2013 Absicherung erforderlich<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft kommt wegen der kritischen Outlook-Schwachstelle CVE-2023-23397 nicht zur Ruhe. Auch wenn es zum 14. M\u00e4rz 2023 einen Patch gab, ist die Schwachstelle nicht 100 Prozent geschlossen. Ende letzter Woche hat Microsoft einen Artikel zur Unterst\u00fctzung von Kunden ver\u00f6ffentlicht, die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[215,4328,4315],"class_list":["post-279057","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-outlook","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/279057","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=279057"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/279057\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=279057"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=279057"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=279057"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}