[Warning] Kritische Sicherheitslücke in Microsoft Outlook - aktiv ausgenutzt, Updates verfügbar

Michael Schlagenhaufer schlagenhaufer at cert.at
Wed Mar 15 10:17:52 CET 2023 

15. März 2023

Beschreibung

Am Abend des 14. März 2023 hat Microsoft im Rahmen seines monatlichen
Patchdays Updates für zahlreiche Schwachstellen veröffentlicht - unter
anderem für eine Privilege Escalation in Microsoft Outlook, welche laut
dem Unternehmen bereits aktiv ausgenutzt wird.

CVE-Nummer(n): CVE-2023-23397

CVSS Base Score: 9.8

Auswirkungen

Durch speziell manipulierte E-Mails können Angreifer:innen Net-NTLMv2-
Hashes von verwundbaren Systemen stehlen. Da die Ausnutzung der
Schwachstelle bereits während der Verarbeitung der Nachricht auf dem
Mailserver erfolgt ist keine benutzerseitige Interaktion notwendig.

Betroffene Systeme

     * Microsoft 365 Apps for Enterprise
     * Microsoft Office 2013
     * Microsoft Office 2016
     * Microsoft Office 2019

Abhilfe

Einspielen der durch den Hersteller zur Verfügung gestellten
Aktualisierungen. Microsoft empfiehlt weiters folgende Maßnahmen:

     * Das Hinzufügen von Nutzer:innen zur "Protected Users Security
       Group". Dies verhindert die Nutzung von NTLM als
       Authentifizierungsmechanismus und ist insbesondere für sensible
       Accounts (z.B. Domain-Administratoren) empfohlen.
     * Firewall-seitige Sperre von ausgehendem Traffic auf Port 445/TCP.
       Dies verhindert das Senden von NTLM-Paketen an externe Ziele.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-
Features von Software zu nutzen, parallel Firewall-Software aktiv und
den Virenschutz aktuell zu halten.
     __________________________________________________________________

Informationsquelle(n):

Microsoft Outlook Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/de-DE/vulnerability/CVE-2023-23397

Patchday: Microsoft dichtet aktiv angegriffene Sicherheitslücken ab
https://www.heise.de/news/Patchday-Microsoft-dichtet-aktiv-angegriffene-Sicherheitsluecken-ab-7545903.html


-- 
// Michael Schlagenhaufer <schlagenhaufer at cert.at> - T: +43 1 5056416
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20230315/2e11d65a/attachment.sig>

More information about the Warning mailing list