{"id":284817,"date":"2023-08-10T07:57:09","date_gmt":"2023-08-10T05:57:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284817"},"modified":"2023-08-10T10:42:03","modified_gmt":"2023-08-10T08:42:03","slug":"microsofts-office-defense-in-depth-update-adv230003-cve-2023-36884-gegen-rce-angriffe-august-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/10\/microsofts-office-defense-in-depth-update-adv230003-cve-2023-36884-gegen-rce-angriffe-august-2023\/","title":{"rendered":"Microsofts Office Defense in Depth Update ADV230003 (CVE-2023-36884) gegen RCE-Angriffe (August 2023)"},"content":{"rendered":"

[English<\/a>]Microsoft hat zum 8. August 2023 zahlreiche Sicherheitsupdates f\u00fcr Windows und Office ver\u00f6ffentlicht. F\u00fcr Microsoft Office gab es f\u00fcr die MSI-Versionen Sicherheitsupdates sowohl f\u00fcr Version 2013 als auch f\u00fcr Office 2016. Auch die C2R-Varianten von Office 2016 und 2019 sollten sich ein entsprechendes Update gezogen haben. Microsoft bezeichnet das Ganze als \"Defense in Depth Update\", mit dem eine Angriffskette in der Windows-Suche unterbrochen werden soll. Hier noch einige Informationen dazu.<\/p>\n

<\/p>\n

ADV230003 zur Schwachstelle CVE-2023-36884 gefixt<\/h2>\n

\"\"Microsoft gibt an ein Office Defense in Depth Update mit den August 2023-Updates (besonders f\u00fcr Microsoft Office) vorzunehmen – den Kollegen hier<\/a> ist das aufgefallen. Das Ganze wurde unter ADV230003<\/a> ver\u00f6ffentlicht. Laut Microsoft soll die als moderat eingestufte Schwachstelle in Microsoft Office bez\u00fcglich der Ausnutzbarkeit noch besser abgesichert werden. Es geht um die Schwachstelle CVE-2023-36884, die als Windows Search Remote Code Execution Vulnerability <\/em>bereits im Juli 2023 \u00f6ffentlich wurde (es gab zum Juli 2023-Patchday kein Sicherheitsupdate f\u00fcr diese Schwachstelle).<\/p>\n

Die Schwachstelle erlaubt ein Angriffsszenario, bei dem der Angreifer dem anvisierten Benutzer eine speziell gestaltete Datei per E-Mail oder Sofortnachricht senden kann. \u00dcber die Schwachstelle lie\u00dfe sich so eine Remotecodeausf\u00fchrung ausnutzen. Konkret dreht es sich um das Mark of the Web (MotW) Sicherheits-Feature, welches eigentlich die Ausf\u00fchrung von Dateien, die als aus dem Internet stammend mit dem MotW-Flag markiert sind, verhindern und eine Sicherheitswarnung zeigen soll. Die vom Angreifer eingeschleuste b\u00f6sartige Datei kann nun genau diese Mark of the Web (MOTW)-Schutzma\u00dfnahmen umgehen, um Code auf dem Opfersystem auszuf\u00fchren.<\/p>\n

Die Konstellation ist aber so, dass das Opfer die b\u00f6sartige Datei gezielt zum Ausf\u00fchren \u00f6ffnen muss. Ein Angreifer hat keine M\u00f6glichkeit, einen Benutzer dazu zu zwingen, die sch\u00e4dlichen Inhalte anzusehen. Es l\u00e4uft also darauf hinaus, dass der Angreifer das Opfer dazu verleitet, etwas zu unternehmen. Das kann die Aufforderung sein, auf einen Link zu klicken, um den Benutzer auf die Website des Angreifers zu leiten, wo dann ein Download angeboten wird. Oder es wird ein b\u00f6sartiger Anhang gesendet.<\/p>\n

Durch die Installation dieser Updates soll die Angriffskette unterbrochen werden, die zu der Sicherheitsanf\u00e4lligkeit (CVE-2023-36884) bei der Remotecodeausf\u00fchrung in der Windows-Suche f\u00fchrt. Microsoft empfiehlt die Installation der in diesem Hinweis besprochenen Office-Updates sowie die Installation der Windows-Updates vom August 2023.Die betreffenden Updates f\u00fcr die MSI-Dateien habe ich im Blog-Beitrag Microsoft Office Updates (8. August 2023)<\/a> aufgelistet. In ADV230003<\/a> finden sich auch die Updates f\u00fcr die Click-2-Run-Installationen.<\/p>\n

Was man zu CVE-2023-36884 wissen soll<\/h2>\n

Die Schwachstelle hat schon was, taucht sie doch in verschiedenen Blog-Beitr\u00e4gen auf. Im Beitrag Microsoft Security Update Summary (11. Juli 2023)<\/a> hatte ich erw\u00e4hnt, dass z.B. das im Juli 2023 stattgefundene Nato Gipfeltreffen im Baltikum \u00fcber diese Schwachstelle CVE-2023-36884 angegriffen wurde. Im Beitrag Office und Windows HTML RCE-Schwachstelle CVE-2023-36884 erlaubt System\u00fcbernahme<\/a> bin ich seinerzeit auf den Sachverhalt eingegangen.<\/p>\n

Bei der Schwachstelle CVE-2023-36884<\/a> <\/u>handelt es sich um eine HTML Remote Code Execution-L\u00fccke, die \u00fcber eine Internet Explorer-Komponente eingef\u00fchrt wurde und sich auf sowohl auf Microsoft Office als auch auf Windows auswirkt. Microsoft gab im Juli 2023 an, dass man Berichte \u00fcber eine Reihe von Sicherheitsl\u00fccken bei der Remotecodeausf\u00fchrung, die Windows- und Office-Produkte betreffen, untersucht. Eine Gruppe Storm-0978 aus Russland, auch unter Namen wie DEV-0978 oder RomCom gef\u00fchrt, wird der Angriffe bezichtigt. Die Akteure sind auf Ransomware-Kampagnen (Undergrund Ransomware) und Erpressung spezialisiert. Zu den Zielregionen geh\u00f6ren die Ukraine, Nordamerika und Europa, w\u00e4hrend zu den Zielbranchen Telekommunikation und Finanzen geh\u00f6ren.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Microsoft Security Update Summary (8. August 2023)<\/a>
\nPatchday: Windows 10-Updates (8. August 2023)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (8. August 2023)<\/a>
\nWindows 7\/Server 2008 R2; Server 2012 R2: Updates (8. August 2023)<\/a>
\nMicrosoft Office Updates (8. August 2023)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat zum 8. August 2023 zahlreiche Sicherheitsupdates f\u00fcr Windows und Office ver\u00f6ffentlicht. F\u00fcr Microsoft Office gab es f\u00fcr die MSI-Versionen Sicherheitsupdates sowohl f\u00fcr Version 2013 als auch f\u00fcr Office 2016. Auch die C2R-Varianten von Office 2016 und 2019 sollten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,185],"tags":[4322,8399,4328,4315],"class_list":["post-284817","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-update","tag-office","tag-patchday-8-2023","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284817","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284817"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284817\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284817"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284817"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284817"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}