Microsoft Outlook Schwachstelle: Angreifer benötigen nur Kenntnis einer E-Mail-Adresse

22. März, 2023

Die Microsoft Outlook Schwachstelle CVE-2023-23397 (Microsoft Outlook Elevation of Privilege Vulnerability) kann jederzeit nur mit dem Wissen einer simplen E-Mail-Adresse gegen ein beliebiges Opfer angewendet werden. Betroffen sind alle Outlook-Versionen für Windows, Sicherheitsupdates für Outlook 2013 bis Office 365 wurden am Patchday am 14. März 2023 ausgeliefert. [1] Bislang nur in gezielten Attacken in the Wild gesichtet, ist nach Veröffentlichung der Schwachstelle und Sicherheitsupdates mit steigenden Angriffszahlen zu rechnen.

Details zur Ausnutzung der Schwachstelle und Proof of Concept frei verfügbar

CVE-2023-23397 ermöglicht, mit einer E-Mail, die eine erweiterte MAPI-Eigenschaft mit einem UNC-Pfad zu einer SMB-Freigabe (TCP 445) auf einem Server unter Kontrolle des Angreifers enthält, NTLM-Anmeldedaten zu stehlen. Sicherheitsforscher haben rekonstruiert, dass es dabei der „PidLidReminderFileParameter“ verwendet wird, der den Erinnerungston, den Outlook bei Fälligkeit des Eintrags abspielt, definiert. Liegt dieser auf einem externen Server, kann der die Authentifizierung des Clients anfordern und so von Outlook den NTLM-Hash des Benutzers erhalten. [2]

Für den Angriff ist keine Benutzerinteraktion erforderlich. Allein der Empfang einer manipulierten E-Mail reicht aus, um die Schadensroutine zu starten ­– sie muss weder geöffnet, noch in der Vorschau angezeigt werden. Die gestohlenen Net-NTLMv2 Hashes könnten für einen NTLM-Relay-Angriff gegen einen anderen Dienst verwendet werden, um sich als Benutzer zu authentifizieren.

Sicherheitsupdates und Workarounds für Microsoft Outlook Schwachstelle veröffentlicht

Um den Exploit abzusichern, muss das Outlook-Sicherheitsupdate installiert werden – unabhängig davon, wo die E-Mails gehostet werden oder ob die NTLM-Authentifizierung unterstützt wird. Zusätzlich zu den Sicherheitsupdates für Outlook 2013 bis Office 365 nennt Microsoft zwei mögliche Workarounds.

Die Sicherheitsgruppe „Geschützte Benutzer“ in Active Directory verhindert die Verwendung von NTLM als Authentifizierungsmechanismus und damit Angriffe auf die Benutzer in dieser Gruppe. Die Maßnahme verspricht sehr schnelle Abhilfe, allerdings können sich dadurch Probleme für User außerhalb des Unternehmensnetzwerkes, die sich dann nicht mehr offline anmelden können, sowie mit anderen Anwendungen, die NTLM nutzen, ergeben. Es gilt abzuwägen, ob oder für welche User diese Nebenwirkungen in Kauf genommen werden, bis die Sicherheitsupdates installiert sind.

Eine weitere Maßnahme gegen CVE-2023-23397 wäre das Blockieren des TCP 445/SMB mit Hilfe einer Perimeter-Firewall, einer lokalen Firewall und über die VPN-Einstellungen. Einer guten Sicherheitspraxis folgend, sollten ungenutzte Ports prinzipiell geschlossen sein, allerdings wird dabei oft nur an den Zugriff von außen in das eigene System gedacht. Es lohnt sich daher zu überprüfen, ob auch der Zugriff aus dem Unternehmensnetzwerk in Richtung Internet blockiert ist. Dabei gilt es zu bedenken, dass die Perimeter-Firewall im Außendienst oder Home-Office nicht greift und damit immer nur ein Baustein in der Abwehrstrategie sein kann.

Potenziell gefährliche Outlook-Elemente finden und bereinigen

Sobald die Sicherheitslücke geschlossen ist, empfiehlt es sich, zu überprüfen, ob die eigenen Systeme bereits kompromittiert wurden. Microsoft hat dazu ein Script bereitgestellt, das direkt am Exchange-Server ausgeführt werden kann und Exchange-Elemente wie E-Mails, Kalendereinträge und Aufgaben überprüft.

Im Audit-Modus erstellt das Script ein CSV-File mit allen Elementen mit einem gesetzten PidLidReminderFileParameter, die – je nach Parameter – auf einen Angriff hinweisen können. Diese Liste gilt es manuell zu kontrollieren. [3] Im Cleanup-Modus kann das Script verwendet werden, um die ausgewählten Elemente zu bereinigen oder dauerhaft zu löschen.

Das könnte Sie auch interessieren:

API-Sicherheit: Schutz vor Fremdzugriffen und Manipulation

IT-Sicherheitsstrategie zukunftsfit machen

Quellen:
[1] https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/
[2] https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/
[3] https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/FAQ/

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download