{"id":280647,"date":"2023-05-11T16:10:00","date_gmt":"2023-05-11T14:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=280647"},"modified":"2023-05-12T15:32:33","modified_gmt":"2023-05-12T13:32:33","slug":"microsoft-patcht-outlook-schwachstelle-cve-2023-29325","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/05\/11\/microsoft-patcht-outlook-schwachstelle-cve-2023-29325\/","title":{"rendered":"Microsoft patcht Outlook-Schwachstelle CVE-2023-29325"},"content":{"rendered":"

[English<\/a>]Microsoft hat zum 9. Mai 2023 erneut einen Fix f\u00fcr eine Outlook-Schwachstelle mit Windows-Updates ausgeliefert. Mit diesem Update soll eine Schwachstelle in Outlook geschlossen werden, die bereits im M\u00e4rz 2023 unvollst\u00e4ndig gepatcht wurde. Russische Hacker haben diese Schwachstelle in der Vergangenheit ausgenutzt.<\/p>\n

<\/p>\n

R\u00fcckblick auf die Outlook-Schwachstelle CVE-2023-23397<\/h2>\n

\"\"Im M\u00e4rz 2023 hatte Microsoft eine kritische Schwachstelle CVE-2023-23397, die eine Rechteauswertung durch Dritte erm\u00f6glicht, \u00f6ffentlich gemacht und angeblich durch ein Update geschlossen (siehe Outlook wegen kritischer Schwachstelle CVE-2023-23397 patchen<\/a>). Es handelte sich um die Schwachstelle CVE-2023-23397<\/a> <\/u>in Microsoft Outlook. Das ist eine Elevation of Privilege-Schwachstelle (EvP), die den CVEv3-Score von 9.8 erhalten hat, also extrem kritisch eingestuft wird.<\/p>\n

Angreifer k\u00f6nnen eine b\u00f6sartige E-Mail an eine anf\u00e4llige Version von Outlook senden. Wenn die E-Mail vom Server geladen und im Client verarbeitet wird, kann eine Verbindung zu einem vom Angreifer kontrollierten Ger\u00e4t hergestellt werden, um den Net-NTLMv2-Hash des E-Mail-Empf\u00e4ngers auszusp\u00e4hen. Der Angreifer kann diesen Hash verwenden, um sich in einem NTLM-Relay-Angriff als Empf\u00e4nger des Opfers zu authentifizieren, hei\u00dft es bei Microsoft.<\/p>\n

Microsoft hat zum 14. M\u00e4rz 2023 Sicherheitsupdates f\u00fcr Outlook 2016 (KB5002254)<\/a> und f\u00fcr Outlook 2013 (KB5002265)<\/a> dazu ver\u00f6ffentlicht (siehe Patchday: Microsoft Office Updates (14. M\u00e4rz 2023)<\/a>). Betroffen waren aber wohl nur Outlook-Systeme, die gegen Exchange-Postf\u00e4cher arbeiten. Microsoft hatte Exchange-Administratoren zum M\u00e4rz 2023 Patchday nicht nur auf die Schwachstelle hingewiesen, sondern auch ein Pr\u00fcfscript ver\u00f6ffentlicht (siehe den Blog-Beitrag Exchange Server Sicherheitsupdates (14. M\u00e4rz 2023)<\/a>).<\/p>\n

Patch unvollst\u00e4ndig<\/h2>\n

Im Blog-Beitrag Outlook-Schwachstelle CVE-2023-23397 nicht vollst\u00e4ndig gepatcht \u2013 Absicherung erforderlich<\/a> hatte ich dann darauf hingewiesen, dass der Patch unvollst\u00e4ndig sei. Der Angriff kann weiterhin mit etwas modifizierten E-Mails immer noch ausgef\u00fchrt werden. Ben Barnea von Akamai weist auf Twitter<\/a> darauf hin, das er einen Bypass f\u00fcr den M\u00e4rz 2023-Patch von Microsoft gefunden habe.<\/p>\n

\"Outlook<\/a><\/p>\n

Ben Barnea schreibt, dass die Schwachstelle, nach den Informationen, die von Microsoft im Vorfeld mitgeteilt wurden (und anscheinend auch von anderen), die Sicherheitsl\u00fccke tats\u00e4chlich als kritisch eingestuft wurde und einen CVSS-Wert von 7,5 erhielt. Am Patch Tuesday stufte Microsoft die Schwachstelle jedoch als wichtig ein und senkte den CVSS-Wert auf 6,5 – eine Erkl\u00e4rung fehlt. Ben schreibt dazu:<\/p>\n

\"Unsere Untersuchungen deuten darauf hin, dass die neue Schwachstelle die Ausnutzung einer kritischen Schwachstelle erm\u00f6glicht, die in freier Wildbahn beobachtet und von APT (Advanced Persistent Threat)-Betreibern genutzt wurde. Wir sind nach wie vor der Meinung, dass unsere Entdeckung von gro\u00dfer Tragweite ist. In den H\u00e4nden eines b\u00f6swilligen Akteurs k\u00f6nnte sie dieselben Folgen haben wie der kritische urspr\u00fcngliche Outlook-Bug.\"<\/p><\/blockquote>\n

Die Details sind im Akamai-Blogbeitrag From One Vulnerability to Another: Outlook Patch Analysis Reveals Important Flaw in Windows API<\/a> beschrieben.\u00a0 Weitere Artikel finden sich auf Darkreading<\/a> und The Record<\/a>.<\/p>\n

Neuer Fix f\u00fcr Schwachstelle CVE-2023-29324<\/h2>\n

Zum 9. Mai 2023 hat Microsoft dann den Supportbeitrag Microsoft Mitigates Outlook Elevation of Privilege Vulnerability<\/a> vom 14. M\u00e4rz 2023 um einen Text mit folgendem Inhalt erg\u00e4nzt:<\/p>\n

May 9, 2023 update:<\/strong> Releases for Microsoft Products has been updated with the release of CVE-2023-29324 – Security Update Guide – Microsoft – Windows MSHTML Platform Security Feature Bypass Vulnerability<\/a><\/p><\/blockquote>\n

Im verlinkten Beitrag hei\u00dft es, dass Kunden die Updates f\u00fcr CVE-2023-23397 (Patch kommt f\u00fcr Outlook, siehe oben) sowie f\u00fcr CVE-2023-29324 (Patch f\u00fcr die MSHTML-Komponente, kommt per IE- und Windows Update) installieren m\u00fcssen, um vollst\u00e4ndig gesch\u00fctzt zu sein. Die Schwachstelle betrifft alle im Support befindlichen Windows-Versionen, bei denen die MSHTML-Komponente gepatcht wird.<\/p>\n

Microsoft hat dann unter CVE-2023-29324<\/a> die Liste der Windows-Updates ver\u00f6ffentlicht, die diese Schwachstelle (in MSHTML) adressieren. Weiterhin empfiehlt Microsoft Administratoren, die nur Sicherheitsupdates f\u00fcr Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2 installieren, auch das Mai 2023-Update KB5026366<\/a> f\u00fcr den Internet Explorer 11 zu installieren. Der Grund: Die Security-only Updates enthalten nicht die gepatchte IE-Komponente.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nOutlook wegen kritischer Schwachstelle CVE-2023-23397 patchen<\/a>
\nPatchday: Microsoft Office Updates (14. M\u00e4rz 2023)<\/a>
\nExchange Server Sicherheitsupdates (14. M\u00e4rz 2023)<\/a>
\nOutlook-Schwachstelle CVE-2023-23397 nicht vollst\u00e4ndig gepatcht \u2013 Absicherung erforderlich<\/a>
\nLeitfaden von Microsoft zur Outlook-Schwachstelle CVE-2023-23397<\/a><\/p>\n

Microsoft Security Update Summary (9. Mai 2023)<\/a>
\nPatchday: Windows 10-Updates (9. Mai 2023)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (9. Mai 2023)<\/a>
\nWindows 7\/Server 2008 R2; Server 2012 R2: Updates (9. Mai 2023)<\/a>
\nPatchday: Microsoft Office Updates (9. Mai 2023)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat zum 9. Mai 2023 erneut einen Fix f\u00fcr eine Outlook-Schwachstelle mit Windows-Updates ausgeliefert. Mit diesem Update soll eine Schwachstelle in Outlook geschlossen werden, die bereits im M\u00e4rz 2023 unvollst\u00e4ndig gepatcht wurde. Russische Hacker haben diese Schwachstelle in der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,185,301],"tags":[215,8386,4328,4315],"class_list":["post-280647","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-update","category-windows","tag-outlook","tag-patchday-5-2023","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280647","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=280647"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280647\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=280647"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=280647"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=280647"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}