Microsoft Threat Intelligence hat eine begrenzte und gezielte Ausnutzung einer Schwachstelle in Microsoft Outlook für Windows entdeckt, die den von Diebstahl NTLM-Anmeldeinformationen ermöglicht. Als IT-Dienstleister möchten wir unsere Kunden darauf hinweisen und empfehlen dringend, Microsoft Outlook für Windows zu aktualisieren, um sicher zu bleiben.
Betroffene Produkte
Betroffen sind alle unterstützten Versionen von Microsoft Outlook für Windows. Andere Versionen von Microsoft Outlook, wie Android, iOS, Mac, sowie Outlook im Web und andere M365-Dienste sind nicht betroffen.
Wie können Sie feststellen, ob Ihre Organisation betroffen ist?
Microsoft stellt unter https://aka.ms/CVE-2023-23397ScriptDoc eine Dokumentation und ein Skript zur Verfügung, mit dem Sie feststellen können, ob Ihre Organisation Ziel von Angriffen auf diese Schwachstelle ist. Wir empfehlen Ihnen dringend, dieses Skript auszuführen und die Ergebnisse zu überprüfen, um mögliche Risiken für Ihre Organisation zu bewerten.
Technische Details
CVE-2023-23397 ist eine kritische Schwachstelle zur Erhöhung von Berechtigungen (EoP) in Microsoft Outlook, die ausgelöst wird, wenn ein Angreifer eine Nachricht mit einer erweiterten MAPI-Eigenschaft und einem UNC-Pfad zu einer SMB-Freigabe (TCP 445) auf einem vom Angreifer kontrollierten Server sendet. Es ist keine Benutzerinteraktion erforderlich.
Die Verbindung zum entfernten SMB-Server sendet die NTLM-Verhandlungsnachricht des Benutzers, die der Angreifer dann zur Authentifizierung an andere Systeme weiterleiten kann, die NTLM-Authentifizierung unterstützen. Online-Dienste wie Microsoft 365 unterstützen keine NTLM-Authentifizierung und sind nicht anfällig für Angriffe durch solche Nachrichten.
Lösung
Um diese Schwachstelle zu beheben, informieren Sie sich bitte über das Sicherheitsupdate CVE-2023-23397 für Outlook. In den Update-Details finden Sie auch FAQs und weitere Informationen zur Risikominimierung. Microsoft hat ein Skript zur Verfügung gestellt, mit dem Sie die betroffenen Objekte erkennen und ggf. entfernen können. Sie finden es unter folgendem Link: https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
Beachten Sie auch die Veröffentlichung des BSI:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-214328-1032.pdf?__blob=publicationFile&v=3
Weitere Informationen finden Sie auch im Blog von "BornCity":
https://www.borncity.com/blog/2023/03/16/outlook-wegen-kritischer-schwachstelle-cve-2023-23397-patchen/
Wenn Sie Fragen zu dieser kritischen Sicherheitslücke in Outlook haben
oder sich um die regelmäßige Wartung Ihrer Endpoint- oder Exchange
Server-Infrastruktur kümmern möchten, stehen wir Ihnen gerne zur
Verfügung. Als Managed Service Provider bieten wir unseren Kunden einen
umfassenden Schutz und übernehmen die Verantwortung für das Patching
Ihrer Systeme. Bitte kontaktieren Sie uns, um mehr darüber zu erfahren, wie wir Ihnen helfen können.
Kontakt