{"id":288909,"date":"2023-12-05T00:16:00","date_gmt":"2023-12-04T23:16:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=288909"},"modified":"2023-12-05T01:24:06","modified_gmt":"2023-12-05T00:24:06","slug":"exchange-microsoft-identifiziert-russischen-angreifer-der-cve-2023-23397-ausnutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/05\/exchange-microsoft-identifiziert-russischen-angreifer-der-cve-2023-23397-ausnutzt\/","title":{"rendered":"Microsoft identifiziert russischen Angreifer der CVE-2023-23397 in Outlook für Zugriff auf Exchange-Konten ausnutzt"},"content":{"rendered":"

\"Exchange[English<\/a>]Bei CVE-2023-23397 handelt es sich um eine Schwachstelle in Microsoft Outlook, die in Verbindung mit Microsoft Exchange Servern ausgenutzt werden konnte, die im M\u00e4rz 2023 mit Sicherheitsupdates geschlossen wurde. Nun hat Microsoft einen in Russland ans\u00e4ssigen Angreifer identifiziert, der aktiv CVE-2023-23397 ausnutzt, um einen nicht autorisierten Zugriff auf E-Mail-Konten in Exchange-Servern zu erhalten. Das kann dann f\u00fcr NTLM-Relay-Angriffe gegen andere Dienste verwendet werden. Der russische Angreifer wird von Microsoft als Forest Blizzard (STRONTIUM, APT28, FANCYBEAR) bezeichnet.<\/p>\n

<\/p>\n

Outlook-Schwachstelle CVE-2023-23397<\/h2>\n

\"\"Bei CVE-2023-23397<\/a> handelt es sich um eine \"Elevation of Privilege\"-Schwachstelle in Microsoft Outlook, die von Microsoft als kritisch eingestuft und hier<\/a> beschrieben wurde. Der Angriff kann aus speziell pr\u00e4parierten E-Mail heraus stattfinden. Die als kritische eingestufte Schwachstelle (CVEv3-Score von 9.8) erm\u00f6glicht (nur in Verbindung mit Microsoft Exchange) eine Rechteauswertung durch Dritte. Angreifer k\u00f6nnen eine b\u00f6sartige E-Mail an eine anf\u00e4llige Version von Outlook senden. Sobald Outlook diese Mail (\u00fcber Exchange) empf\u00e4ngt, kann (ohne Zutun des Nutzers) eine Verbindung zu einem vom Angreifer kontrollierten Ger\u00e4t hergestellt werden.<\/p>\n

Angreifer haben \u00fcber die Schwachstelle dann die M\u00f6glichkeit, auf den Net-NTLMv2-Hash von Nutzern zugreifen. Dieser Hash-Wert kann als Grundlage f\u00fcr einen NTLM-Relay-Angriff gegen einen anderen Dienst verwendet werden, um sich als diese Nutzer zu authentifizieren. Ich hatte im Blog erstmals in den Beitr\u00e4gen Patchday: Microsoft Office Updates (14. M\u00e4rz 2023)<\/a>, Exchange Server Sicherheitsupdates (14. M\u00e4rz 2023)<\/a> und Outlook wegen kritischer Schwachstelle CVE-2023-23397 patchen<\/a> \u00fcber dieses Thema berichtet. Allerdings stellte sich dann heraus, dass der Patch nur unvollst\u00e4ndig war (siehe Outlook-Schwachstelle CVE-2023-23397 nicht vollst\u00e4ndig gepatcht \u2013 Absicherung erforderlich<\/a>).<\/p>\n

Russische Angreifer nutzen CVE-2023-23397 aus<\/h2>\n

Ende M\u00e4rz 2023 habe ich den Blog-Beitrag Leitfaden von Microsoft zur Outlook-Schwachstelle CVE-2023-23397<\/a> mit weiteren Hinweisen Microsofts zur Absicherung nachgeschoben. Bereits in diesem Blog-Beitrag hatte ich erw\u00e4hnt, dass diese Schwachstelle seit Mitte April 2022 durch russische Angreifer aktiv ausgenutzt wird (siehe auch diesen Beitrag<\/a> von deep instinct, der F\u00e4lle aufzeigt). Laut diesem Palo Alto Networks-Artikel<\/a> haben auch andere Angreifer diese Schwachstelle ausgenutzt.<\/p>\n

\"Attacks<\/a><\/p>\n

Microsoft hat nun zum 4. Dezember 2023 im Beitrag Guidance for investigating attacks using CVE-2023-23397<\/a> (siehe auch obiger Tweet) offen gelegt, dass man staatlich gesponsorte Cyberangreifer identifiziert habe, die diese Schwachstelle ausnutzen. Die nationalstaatlichen Angreifer werden von Microsoft als Forest Blizzard bezeichnet. Diese Gruppe, die ihren Sitz in Russland hat, ist auch unter Namen wie STRONTIUM, APT28 oder FANCYBEAR bekannt.<\/p>\n

Microsoft hat mit dem polnische Cyberkommando (DKWOC) kooperiert, um gegen die Forest Blizzard-Akteure vorzugehen und die von den Akteuren verwendeten Techniken zu identifizieren sowie Abwehrma\u00dfnahmen zu entwickeln. Benutzer sollten sicherstellen, dass Microsoft Outlook gepatcht und auf dem neuesten Stand gehalten wird, um diese Bedrohung zu entsch\u00e4rfen. Bei Microsoft Outlook 2013, was im M\u00e4rz 2023 noch im Support war, ist aber jetzt das End of Life erreicht, so dass dieser Client nicht mehr eingesetzt werden sollte.<\/p>\n

Der Microsoft Defender XDR erkennt die Ausnutzung und bekannte Aktivit\u00e4ten nach der Kompromittierung der Systeme \u00fcber die Schwachstelle CVE-2023-23397. Microsoft hat den \u00e4lteren Beitrag Guidance for investigating attacks using CVE-2023-23397<\/a> um weitere Details und neue Erkenntnisse erg\u00e4nzt.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nOutlook wegen kritischer Schwachstelle CVE-2023-23397 patchen<\/a>
\nPatchday: Microsoft Office Updates (14. M\u00e4rz 2023)<\/a>
\nExchange Server Sicherheitsupdates (14. M\u00e4rz 2023)<\/a>
\nOutlook-Schwachstelle CVE-2023-23397 nicht vollst\u00e4ndig gepatcht \u2013 Absicherung erforderlich<\/a>
\nLeitfaden von Microsoft zur Outlook-Schwachstelle CVE-2023-23397<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Bei CVE-2023-23397 handelt es sich um eine Schwachstelle in Microsoft Outlook, die in Verbindung mit Microsoft Exchange Servern ausgenutzt werden konnte, die im M\u00e4rz 2023 mit Sicherheitsupdates geschlossen wurde. Nun hat Microsoft einen in Russland ans\u00e4ssigen Angreifer identifiziert, der aktiv … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,7459],"tags":[5359,215,4328],"class_list":["post-288909","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-software","tag-exchange","tag-outlook","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288909","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=288909"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288909\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=288909"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=288909"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=288909"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}