Microsoft Outlook Sicherheitslücke: Angreifer benötigen nur Kenntnis einer E-Mail-Adresse

18.04.2023 - Quelle: Ikarus Security

 

Die Microsoft Outlook Schwachstelle CVE-2023-23397 (Microsoft Outlook Elevation of Privilege Vulnerability) kann jederzeit nur mit dem Wissen einer simplen E-Mail-Adresse gegen ein beliebiges Opfer angewendet werden. Betroffen sind alle Outlook-Versionen für Windows.

Sicherheitsupdates für Outlook 2013 bis Office 365 wurden am Patchday am 14. März 2023 ausgeliefert. (siehe: https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/)

Bislang nur in gezielten Attacken in the Wild gesichtet, ist nach Veröffentlichung der Schwachstelle und Sicherheitsupdates mit steigenden Angriffszahlen zu rechnen.

Warnschild Achtung

Details zur Ausnutzung der Schwachstelle und Proof of Concept frei verfügbar

CVE-2023-23397 ermöglicht, mit einer E-Mail, die eine erweiterte MAPI-Eigenschaft mit einem UNC-Pfad zu einer SMB-Freigabe (TCP 445) auf einem Server unter Kontrolle des Angreifers enthält, NTLM-Anmeldedaten zu stehlen. Sicherheitsforscher haben rekonstruiert, dass dabei der „PidLidReminderFileParameter“ verwendet wird, der den Erinnerungston, den Outlook bei Fälligkeit des Eintrags abspielt, definiert. Liegt dieser auf einem externen Server, kann der die Authentifizierung des Clients anfordern und so von Outlook den NTLM-Hash des Benutzers erhalten.

Für den Angriff ist keine Benutzerinteraktion erforderlich. Allein der Empfang einer manipulierten E-Mail reicht aus, um die Schadensroutine zu starten ­– sie muss weder geöffnet, noch in der Vorschau angezeigt werden. Die gestohlenen Net-NTLMv2 Hashes könnten für einen NTLM-Relay-Angriff gegen einen anderen Dienst verwendet werden, um sich als Benutzer zu authentifizieren.

Sicherheitsupdates und Workarounds für Microsoft Outlook Schwachstelle veröffentlicht

Um den Exploit abzusichern, muss ein Outlook-Sicherheitsupdate installiert werden – unabhängig davon, wo die E-Mails gehostet werden oder ob die NTLM-Authentifizierung unterstützt wird.

Hier gehts zu den Outlook-Sicherheitsupdates sowie zu den detaillierten Informationen der Workarounds:

                          

            
      
Bei Fragen stehen wir Ihnen gerne unter office@siedl.net oder +43 2732 71545 zur Verfügung.              
                                       
Beitrag drucken
 
 

 

Siedl Networks GmbH

Dr.-Franz-Wilhelm-Straße 2
3500 Krems an der Donau

T: +43 2732 71545-0
office@siedl.net
support@siedl.net
 
Unsere Bürozeiten:

Montag bis Freitag:
08:00 Uhr - 12:00 Uhr
13:00 Uhr - 16:45 Uhr


Siedl Networks GmbH

Dr.-Franz-Wilhelm-Straße 2
3500 Krems an der Donau

+43 2732 71545-0
office@siedl.net
support@siedl.net
 

Unsere Bürozeiten:

Montag bis Freitag:
08:00 Uhr - 12:00 Uhr
13:00 Uhr - 16:45 Uhr

 

Für Fragen steht Ihnen unser Team zur Verfügung.

mail
Telefon: +43 2732 71545-0

 +43 2732 71545-0 

facebook
teamviewer support

 +43 2732 71545-0