{"id":293245,"date":"2024-03-12T15:29:46","date_gmt":"2024-03-12T14:29:46","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=293245"},"modified":"2024-03-12T15:44:42","modified_gmt":"2024-03-12T14:44:42","slug":"microsoft-outlook-rce-schwachstelle-cve-2024-21378-im-februar-2024-gepatcht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/12\/microsoft-outlook-rce-schwachstelle-cve-2024-21378-im-februar-2024-gepatcht\/","title":{"rendered":"Microsoft Outlook RCE-Schwachstelle CVE-2024-21378; im Februar 2024 gepatcht"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Office1.jpg\" width=\"55\" height=\"60\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/03\/12\/microsoft-outlook-rce-vulnerability-cve-2024-21378-patched-in-february-2024\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Am 13. Februar 2024 wurde mit den Sicherheitsupdates auch die Remote Code Execution-Schwachstelle CVE-2024-21378 in Microsoft Outlook geschlossen. Zum 11. M\u00e4rz 2024 wurde nun einer tiefergehende Analyse der Schwachstelle ver\u00f6ffentlicht, wie ich gestern in einem Tweet gesehen habe.<\/p>\n<p><!--more--><\/p>\n<h2>Die Outlook Schwachstelle CVE-2024-21378<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/cd2b65f0a49e4b4492064fc6ba3f27ca\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte bereits im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/13\/microsoft-security-update-summary-13-februar-2024\/\">Microsoft Security Update Summary (13. Februar 2024)<\/a> auf die Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2024-21378\" target=\"_blank\" rel=\"noopener\">CVE-2024-21378<\/a> hingewiesen. Es handelt sich um einen Remote Code Execution-Schwachstelle in Microsoft Outlook, die mit einem CVEv3 Score 8.0, important (wichtig), eingestuft wurde. Microsoft stufte diese Schwachstelle in Outlook als \"Exploitation More Likely\" ein.\u00a0 Um diese Schwachstelle auszunutzen, m\u00fcsste sich ein Angreifer mit LAN-Zugang authentifizieren und \u00fcber eine g\u00fcltige Anmeldung f\u00fcr einen Exchange-Benutzer verf\u00fcgen. Wenn der Angreifer diese Voraussetzungen erf\u00fcllt, muss er den Nutzer dazu verleiten, eine pr\u00e4parierte Datei zu \u00f6ffnen. Laut Microsoft ist das Vorschaufenster ein Angriffsvektor, d. h. die Vorschau einer speziell pr\u00e4parierten Datei kann die Sicherheitsl\u00fccke ausl\u00f6sen.<\/p>\n<p>Zum 13. Februar 2024 wurde dann diese Schwachstelle in allen unterst\u00fctzten Office-Versionen geschlossen. Ich hatte im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/15\/microsoft-office-updates-13-februar-2024\/\">Microsoft Office Updates (13. Februar 2024)<\/a> darauf verwiesen, dass das Update <a href=\"https:\/\/support.microsoft.com\/de-de\/topic\/hinweise-zum-sicherheitsupdate-f%C3%BCr-outlook-2016-13-februar-2024-kb5002543-be028048-a92d-4aaf-8978-8ae6dc443436\" target=\"_blank\" rel=\"noopener\">KB5002543<\/a> diese RCE-Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2024-21378\" target=\"_blank\" rel=\"noopener\">CVE-2024-21378<\/a> in den MSI-Installervarianten von Outlook 2016 schlie\u00dft. F\u00fcr die Click-to-Run-Varianten hat Microsoft entsprechende Updates bereitgestellt.<\/p>\n<h2>Mehr Details zu CVE-2024-21378<\/h2>\n<p>Nicolas Krassas weist in nachfolgendem <a href=\"https:\/\/www.netspi.com\/blog\/technical\/red-team-operations\/microsoft-outlook-remote-code-execution-cve-2024-21378\/\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> darauf hin, dass nun weitergehenden Informationen zu dieser RCE-Schwachstelle in Microsoft Outlook bereitstehen. Bereits 2017 wurde von Etienne Stalmans (SensePost, Orange CyberDefense) eine Angriffsmethode publiziert, die VBScript-Code innerhalb von Outlook-Formularobjekten verwendete, um eine Codeausf\u00fchrung mit Zugriff auf ein Postfach zu erreichen. Als Reaktion darauf wurde Microsoft ein Patch ver\u00f6ffentlicht, um das Problem zu entsch\u00e4rfen. Die angreifbare Synchronisierungsfunktion dieser Formularobjekte wurde jedoch nie ge\u00e4ndert. Sicherheitsforscher von NetSPI haben sich das zunutze gemacht, um diese Konstruktion auf Schwachstellen zu untersuchen. Bereits 2023 stie\u00dfen sie darauf, dass Outlook auf diese Weise weiterhin angreifbar ist.<\/p>\n<p><a href=\"https:\/\/www.netspi.com\/blog\/technical\/red-team-operations\/microsoft-outlook-remote-code-execution-cve-2024-21378\/\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Outlook Schwachstelle CVE-2024-21378\" src=\"https:\/\/i.postimg.cc\/9XZBdw53\/image.png\" alt=\"Outlook Schwachstelle CVE-2024-21378\" \/><\/a><\/p>\n<p>Nachdem die Sicherheitsforscher Microsoft bereits 2023 informierten, stellte das Unternehmen im Februar 2024 ein Update zum Schlie\u00dfen der Schwachstelle bereit. Zum 11. M\u00e4rz 2024 haben die Sicherheitsforscher mehr Details zur Schwachstelle und deren Ausnutzung im Blog-Beitrag <a href=\"https:\/\/www.netspi.com\/blog\/technical\/red-team-operations\/microsoft-outlook-remote-code-execution-cve-2024-21378\/\" target=\"_blank\" rel=\"noopener\">CVE-2024-21378 \u2014 Remote Code Execution in Microsoft Outlook<\/a> ver\u00f6ffentlicht.<\/p>\n<p>Ansatzpunkt ist, dass Formulare in Outlook \u00fcber MAPI mit Hilfe von <em>IPM.Microsoft.FolderDesign.FormsDescription<\/em>-Objekten synchronisiert werden. Diese Objekte enthalten spezielle Eigenschaften und Anh\u00e4nge, die verwendet werden, um das Formular zu \"installieren\", wenn es zum ersten Mal auf einem Client verwendet wird. Die Sicherheitsforscher stellten fest, dass es ihnen m\u00f6glich war, beliebige Dateien auf der Festplatte zu erstellen sowie beliebige Registrierungsschl\u00fcssel (mit Standardwerten) unter HKEY\\_CLASSES\\_ROOT (HKCR) zu installieren. Diese Primitive reichen aus, um auf triviale Weise eine Remote Code Execution \u00fcber Microsoft Outlook auszuf\u00fchren.<\/p>\n<p>Bei Interesse lassen sich die Details im oben verlinkten Beitrag der Sicherheitsforscher nachlesen. F\u00fcr Nutzer und Administratoren reicht aber aus, zu wissen, dass die Sicherheitsupdates von Februar 2024 zu installieren sind, um vor dieser Schwachstelle gesch\u00fctzt zu sein.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2024\/02\/13\/microsoft-security-update-summary-13-februar-2024\/\">Microsoft Security Update Summary (13. Februar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/15\/microsoft-office-updates-13-februar-2024\/\">Microsoft Office Updates (13. Februar 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Am 13. Februar 2024 wurde mit den Sicherheitsupdates auch die Remote Code Execution-Schwachstelle CVE-2024-21378 in Microsoft Outlook geschlossen. Zum 11. M\u00e4rz 2024 wurde nun einer tiefergehende Analyse der Schwachstelle ver\u00f6ffentlicht, wie ich gestern in einem Tweet gesehen habe.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,185],"tags":[215,4328,4315],"class_list":["post-293245","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-update","tag-outlook","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293245","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=293245"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293245\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=293245"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=293245"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=293245"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}