CVSS 9/10

TI - CVE-2023-23397 - Microsoft Outlook Elevation of Privilege Vulnerability

Daniel Miedler
von Daniel Miedler
2 Min. Lesezeit
15. März 2023

Beschreibung:

Microsoft veröffentlichte am 14.03.2023 eine Schwachstelle für Microsoft Outlook. Ein Angreifer kann diese Schwachstelle nutzen, um den NTLMv2 Hash eines Benutzers über einen UNC Pfad in einer speziellen E-Mail abzugreifen. Der abgegriffene Hash kann auf zwei Arten durch Angreifer missbraucht werden. Angreifer könnten den Hash offline versuchen zu knacken, um an das Klartext Passwort zu kommen. Aufgrund der Funktionsweise von Net-NTLMv2 könnte der Hash auch direkt für die Authentifizierung bei öffentlich verfügbaren Services der Organisation genutzt werden. Microsoft und CISA geben bekannt, dass die Schwachstelle bereits aktiv ausgenutzt wurde. Zudem kann die Schwachstelle ohne Benutzerinteraktion ausgenutzt werden. Die Ausnutzung kann noch vor der Anzeige in der Outlook Preview Pane stattfinden. Es scheint auch bereits detaillierte Write-Ups für die Ausnutzung der Schwachstelle zu geben.

 

Betroffene Systeme:

Microsoft Outlook 2016 (64-bit edition) Microsoft Outlook 2016 (32-bit edition) Microsoft Outlook 2013 Service Pack 1 (64-bit editions) Microsoft Outlook 2013 Service Pack 1 (32-bit editions) Microsoft Outlook 2013 RT Service Pack 1 Microsoft Office LTSC 2021 for 64-bit editions Microsoft Office LTSC 2021 for 32-bit editions Microsoft Office 2019 for 64-bit editions Microsoft Office 2019 for 32-bit editions Microsoft 365 Apps for Enterprise for 64-bit Systems Microsoft 365 Apps for Enterprise for 32-bit Systems

 

Behobene Versionen:

Microsoft Outlook 2016 (64-bit edition) - KB 5002254 Microsoft Outlook 2016 (32-bit edition) - KB 5002254 Microsoft Outlook 2013 Service Pack 1 (64-bit editions) - KB 5002265 Microsoft Outlook 2013 Service Pack 1 (32-bit editions)- KB 5002265 Microsoft Outlook 2013 RT Service Pack 1 - KB 5002265 Microsoft Office LTSC 2021 for 64-bit editions - ClickToRun https://learn.microsoft.com/en-us/officeupdates/microsoft365-apps-security-updates Microsoft Office LTSC 2021 for 32-bit editions - ClickToRun
https://learn.microsoft.com/en-us/officeupdates/microsoft365-apps-security-updates Microsoft Office 2019 for 64-bit editions - ClickToRun https://learn.microsoft.com/en-us/officeupdates/microsoft365-apps-security-updates Microsoft Office 2019 for 32-bit editions - ClickToRun https://learn.microsoft.com/en-us/officeupdates/microsoft365-apps-security-updates Microsoft 365 Apps for Enterprise for 64-bit Systems - ClickToRun https://learn.microsoft.com/en-us/officeupdates/microsoft365-apps-security-updates Microsoft 365 Apps for Enterprise for 32-bit Systems - ClickToRun https://learn.microsoft.com/en-us/officeupdates/microsoft365-apps-security-updates

 

Empfohlene Maßnahmen:

Wir empfehlen, die betroffenen Office Versionen umgehend zu aktualisieren. Des Weiteren empfiehlt Microsoft den Datenverkehr in externe Netzwerke auf dem Port 445/tcp zu blockieren. Microsoft empfiehlt zudem die Implementierung der "Protected User Group" für Administratoren. Mitglieder dieser Gruppe werden daran gehindert, NT-NTLMv2 Authentifizierungen durchzuführen. ACHTUNG, es könnte hier zu Authentifizierungsproblemen kommen. Daher sollte dieses Feature getestet werden. Microsoft stellt auch ein Script für die Untersuchung des Exchange Umgebung zur Verfügung: https://github.com/microsoft/CSS-Exchange/blob/a4c096e8b6e6eddeba2f42910f165681ed64adf7/docs/Security/CVE-2023-23397.md.

 

Einschätzung der Bedrohung;

Die Schwachstelle wird bereits aktiv ausgenutzt. Zudem ist die Mechanik von UNC Pfaden in E-Mails, für das Abgreifen von NTLMv2 Hashes, nicht neu. Eine großflächige Ausnutzung erscheint daher sehr wahrscheinlich.

 

Weiterführende Links:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397 https://www.cisa.gov/news-events/alerts/2023/03/14/cisa-adds-three-known-exploited-vulnerabilities-catalog
https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group
https://0xdf.gitlab.io/2019/01/13/getting-net-ntlm-hases-from-windows.html
https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/

Sie benötigen Unterstützung?

Unsere  Expert*innen im ACP Systems Operations Center (SOC) stehen Ihnen mit Rat und Tat zur Seite. Teilen Sie uns einfach über nachfolgendes Formular mit, bei welchem Problem wir Ihnen helfen können. 

Ihre Anfrage!

Nächster Blogpost
← TI - CVE-2023-21716 / CVE-2023-21529 / CVE-2023-23376 - Multiple Vulnerabilities Microsoft Products
Vorheriger Blogpost
TI - 3CX Desktop App Supply Chain Attack / SmoothOperator →
TI - CVE-2023-36884 - Office and Windows HTML Remote Code Execution Vulnerability
data protection #2
CVSS 9,6/10

TI - CVE-2023-36884 - Office and Windows HTML Remote Code Execution Vulnerability

14. Juli 2023 1 Min. Lesezeit
TI - CVE-2023-21716 / CVE-2023-21529 / CVE-2023-23376 - Multiple Vulnerabilities Microsoft Products
CVSS 10/10

TI - CVE-2023-21716 / CVE-2023-21529 / CVE-2023-23376 - Multiple Vulnerabilities Microsoft Products

17. Februar 2023 3 Min. Lesezeit
Update: Microsoft Exchange Schwachstellen
CVSS 10/10

Update: Microsoft Exchange Schwachstellen

1. September 2021 1 Min. Lesezeit

Updates for innovators:
Abonnieren Sie unseren Blog.