In Microsoft Outlook wurde eine schwerwiegende Sicherheitslücke entdeckt, die derzeit von Cyberkriminellen ausgenutzt wird. Die Sicherheitslücke mit der Bezeichnung CVE-2023-23397 und einem CVSS-Score von 9.8 ermöglicht es einem entfernten, nicht autorisierten Angreifer, Systeme zu kompromittieren, indem er einfach eine speziell gestaltete E-Mail versendet. Diese bösartige E-Mail ermöglicht es dem Angreifer, unautorisierten Zugriff auf die Anmeldedaten des Empfängers zu erlangen. Unsere Mail-Security-Lösungen für Zimbra Business-Mail, eigene Mailserver und Microsoft 365 erkennen E-Mails, die diese Schwachstelle ausnutzen und stellt sie unter Quarantäne, um zu verhindern, dass sie in den Posteingang des Opfers gelangen.
Die Schwachstelle wird ausgelöst, wenn der Outlook-Client eine bösartige E-Mail abruft und verarbeitet, wodurch die Schwachstelle ausgenutzt werden kann, noch bevor die E-Mail im Vorschaufenster angezeigt wird. Es wird eine Verbindung vom Opfer zu einem vom Angreifer kontrollierten Standort hergestellt. Dadurch wird der Net-NTLMv2-Hash des Opfers offengelegt, ein Challenge-Response-Protokoll, das in Windows-Umgebungen zur Authentifizierung verwendet wird. Der Angreifer kann diese Information dann an einen anderen Dienst weiterleiten und sich als das Opfer authentifizieren, wodurch das System weiter kompromittiert wird. Die Komplexität des Angriffs ist gering und wurde laut Microsoft bereits in der Praxis beobachtet, wobei die Schwachstelle für Angriffe auf europäische Regierungs-, Militär-, Energie- und Transportunternehmen ausgenutzt wurde. Der Angriff wurde Microsoft ursprünglich vom CERT-UA (Computer Emergency Response Team für die Ukraine) gemeldet.
Betroffene Microsoft Outlook Versionen
Die kritische Sicherheitslücke in Microsoft Outlook betrifft sowohl die 32-Bit- als auch die 64-Bit-Version von Microsoft 365 Apps for Enterprise. Außerdem sind Office 2013, 2016 und 2019 sowie die LTSC Editionen anfällig.
Empfehlungen
Nutzerinnen und Nutzer unserer Mail-Security-Lösungen für Zimbra Business-Mail, eigene Mailserver und Microsoft 365 sind durch die Dienste Spam- und Malware-Schutz sowie Advanced Threat Protection vor eingehenden Bedrohungen geschützt. Um Ihre Organisation noch besser zu schützen, empfehlen wir die folgenden Schritte in Übereinstimmung mit den Empfehlungen von Microsoft:
Administratoren sollten mithilfe von Perimeter-Firewalls, lokalen Firewalls und VPN-Einstellungen den vom Netzwerk ausgehenden TCP 445/SMB-Verkehr ins Internet blockieren. Diese Maßnahme verhindert die Übertragung von NTLM-Authentifizierungsnachrichten an entfernte Dateifreigaben und trägt zur Behebung von CVE-2023-23397 bei.
Fügen Sie Benutzer zur Sicherheitsgruppe "Geschützte Benutzer" in Active Directory hinzu, um NTLM als Authentifizierungsmechanismus zu verhindern. Dieser Ansatz vereinfacht die Fehlerbehebung im Vergleich zu anderen Methoden zur Deaktivierung von NTLM. Es ist besonders nützlich für hochrangige Konten wie Domänenadministratoren.
Microsoft hat ein Skript zur Verfügung gestellt, mit dem Exchange-Nachrichten mit UNC-Pfaden in den Nachrichteneigenschaften identifiziert und bereinigt oder entfernt werden können. Das Skript kann unter https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/ heruntergeladen werden. Administratoren sollten das Skript verwenden, um festzustellen, ob sie von der Sicherheitslücke betroffen sind, und um diese zu beheben.
Es wird erwartet, dass die Wahrscheinlichkeit von weit verbreiteten Angriffen, die auf die Sicherheitslücke CVE-2023-23397 abzielen, zunimmt, da bereits öffentliche Proof-of-Concepts veröffentlicht wurden. Wir empfehlen daher allen Anwendern von Microsoft Outlook, die von Microsoft zur Verfügung gestellten Sicherheitspatches schnellstmöglich zu installieren.
Hinweis: Dieser Artikel ist eine Übersetzung aus dem Blog unseres Partners Hornetsecurity.