Cybersecurity-Bedrohungshinweis: Schwachstelle in Microsoft Outlook bei Berechtigungserweiterung

Letzte Woche entdeckte Microsoft Threat Intelligence eine kritische EoP-Schwachstelle (Elevation of Privilege) in Microsoft Outlook, die den Diebstahl von NTLM-Zugangsdaten (New Technology LAN Manager) zulässt. Bedrohungsakteure können sich potenziell authentifizieren, Berechtigungen erweitern und Zugriff auf die Windows-Umgebungen des Opfers erhalten. Barracuda SOC empfiehlt, das neueste Outlook-Security-Update zu installieren und die Folgenabschätzung von Microsoft durchzuführen.

Welcher Art ist die Bedrohung?

CVE-2023-23397 ist eine kritische EoP-Schwachstelle, die in Microsoft Outlook vorhanden ist. Dies tritt auf, wenn der Bedrohungsakteur eine Nachricht mit einer erweiterten MAPI-Eigenschaft (Messaging Application Programming Interface) mit einem SMB-Freigabepfad (Server Message Block) an einen bösartigen Server sendet. Eine Interaktion des Benutzers mit der Nachricht ist nicht erforderlich. Diese Verbindung zum Remote-Server des Bedrohungsakteurs legt dann die NTLM-Zugangsdaten des Opfers offen. Sie werden dann von dem Bedrohungsakteur verwendet, um sich bei den Systemen des Opfers zu authentifizieren, die NTLM-Authentifizierung verwenden, was zu einer Erweiterung der Berechtigungen führt. Alle unterstützten Versionen von Microsoft Outlook für Windows sind von CVE-2023-23397 betroffen.

Warum sollte man aufmerksam sein?

Microsoft Outlook ist ein E-Mail-Client, der weltweit von Unternehmen zum Senden und Empfangen von E-Mails verwendet wird. CVE-2023-23397 erhielt laut der National Vulnerability Database des NIST eine kritische Basisbewertung des Common Vulnerability Scoring Systems (CVSS) von 9,8 von 10 Punkten. Alle unterstützten Versionen von Microsoft Outlook für Windows sind davon betroffen. Diese Schwachstelle ist besonders gefährlich, da keine Benutzerinteraktion erforderlich ist und das Opfer von dem Moment an betroffen ist, wenn die E-Mail seinen Posteingang erreicht. Unternehmen, die Microsoft Outlook auf dem Windows-Betriebssystem verwenden, sind von dieser EoP-Schwachstelle direkt betroffen und sollten sorgfältig geprüft werden.

Wie hoch ist Risiko einer Exposition?

Schwachstellen, die zu einer Erweiterung von Berechtigungen führen, werden als kritisch eingestuft, da dies zu einem vollständigen Zugriff auf alle Systeme in der Umgebung des Opfers führen kann. Diese Schwachstelle führt dazu, dass sensible Zugangsdaten offengelegt werden, so dass Bedrohungsakteure sie zurück in die Outlook-Umgebung des Opfers leiten können. Aufgrund der Beschaffenheit von Microsoft Outlook besteht die Gefahr, dass persönliche und vertrauliche Daten in diesen Umgebungen offengelegt werden, wenn diese Schwachstelle ausgenutzt wird. Microsoft hat kürzlich Maßnahmen zur Risikominderung gegen CVE-2023-23397 ergriffen.

Welche Empfehlungen haben Sie?

Barracuda SOC empfiehlt die folgenden Aktionen, um die Auswirkungen dieser Microsoft Outlook-Schwachstelle zu begrenzen:

• Installieren Sie sofort das Outlook Security-Update, unabhängig davon, wo Ihre E-Mails gehostet werden.
• Führen Sie die Folgenabschätzung von Microsoft durch (Dokumentation und Skript finden Sie unter: https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/)
• Blockieren Sie ausgehende TCP 445/SMB von Ihrem Netzwerk um das Senden von NTLM-Authentifizierungsnachrichten an remote Dateifreigaben zu verhindern.
• Fügen Sie Benutzer zur Security-Gruppe „Geschützte Benutzer“ in Outlook hinzu, um die Verwendung der NTLM-Authentifizierung zu verhindern.

Referenzen

Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:

• https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
• https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group
• https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-outlook-2016-march-14-2023-kb5002254-a2a882e6-adad-477a-b414-b0d96c4d2ce3
• https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23397
• https://nvd.nist.gov/vuln/detail/CVE-2023-23397

Dieser Cybersecurity-Bedrohungshinweis wurde ursprünglich bei SmarterMSP veröffentlicht.