20/03/2023
In Microsoft Outlook gibt es eine kritische Schwachstelle CVE-2023-23397, die eine Rechteauswertung durch Dritte ermöglicht. Diese Schwachstelle wird seit Mitte April 2022 durch russische Angreifer aktiv ausgenutzt. Benutzer und Administratoren sollten unverzüglich die Sicherheitsupdates für Outlook, die Microsoft bereitstellt, installieren.
Es handelt sich um eine Elevation of Privilege-Schwachstelle (EvP), die den CVEv3-Score von 9.8 erhalten hat, also extrem kritisch eingestuft wird.
Angreifer können eine bösartige E-Mail an eine anfällige Version von Outlook senden. Wenn die E-Mail vom Server geladen und im Client verarbeitet wird, kann eine Verbindung zu einem vom Angreifer kontrollierten Gerät hergestellt werden, um den Net-NTLMv2-Hash des E-Mail-Empfängers auszuspähen. Der Angreifer kann diesen Hash verwenden, um sich in einem NTLM-Relay-Angriff als Empfänger des Opfers zu authentifizieren, heißt es bei Microsoft.
Microsoft weist in seinen Dokumenten darauf hin, dass diese Schwachstelle ausgenutzt werden kann, bevor die E-Mail im Vorschaufenster angezeigt wird. Ein erfolgreicher Angriff erfordert also keine Interaktion des Empfängers.
Daher ist nun folgende Vorgehensweise empfehlenswert:
1. Aktuelle Patches für Microsoft Outlook installieren
2. (falls dies nicht oder nicht sofort möglich ist - TCP Port 445 *ausgehend* auf der Firewall sperren)
3. Passwort des/der in Outlook angemeldeten Benutzer/s ändern.
4. Hoffen das Microsoft nicht noch mehr unentdeckte Fehler in Outlook hat 😊
Infos & Quellen:
https://www.frankysweb.de/outlook-cve-2023-23397-was-ist-zu-tun/
https://www.borncity.com/blog/2023/03/16/outlook-wegen-kritischer-schwachstelle-cve-2023-23397-patchen/
Offizieller Microsoft Eintrag inkl. Download der Patches zur jeweiligen Outlook Version:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23397
