Empfehlung zum Schutz vor der Microsoft-Sicherheitslücke CVE-2023-23397 (Elevation of Privilege)

Hintergrund

Am 14. März 2023 veröffentlichte der Security Update Guide von Microsoft Informationen über die kritische EoP-Sicherheitslücke (Elevation of Privilege) CVE-2023-23397. Diese Sicherheitslücke ermöglicht den Diebstahl von NTLM-Anmeldedaten für Microsoft Outlook, die von Angreifern für unbefugte Zugriffe mit erweiterten Berechtigungen missbraucht werden könnten.

Welches Risiko besteht konkret?

Die Sicherheitslücke wird ausgelöst, wenn ein Angreifer dem Opfer eine Nachricht mit einer erweiterten MAPI-Eigenschaft (Microsoft Outlook Messaging API) mit einem UNC-Pfad (Universal Naming Convention – ein Zeichenfolgenformat, das den Speicherort einer Ressource angibt) zu einer SMB-Freigabe (TCP 445) auf einem von einem Bedrohungsakteur kontrollierten Server sendet. Sobald Outlook diese Nachricht empfängt, wird eine NTLM-Authentifizierung bei dem SMB-Server initiiert. Zur Auslösung der Sicherheitslücke ist keine Interaktion seitens des betroffenen Users erforderlich. Der Angreifer kann die NTLM-Aushandlungsnachricht des Users dann zur Authentifizierung an andere Systeme weiterleiten, die die NTLM-Authentifizierung unterstützen.

Laut Microsoft „könnte ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, auf den Net-NTLMv2-Hash eines Users zugreifen, der dann wiederum als Grundlage für einen NTLM-Relay-Angriff gegen einen anderen Service zur Authentifizierung als User missbraucht werden könnte“.

Welche Systeme sind betroffen?

Die Sicherheitslücke betrifft alle Versionen von Microsoft Outlook für Windows. Laut Informationen im Microsoft-Blog sind andere Versionen von Microsoft Outlook wie Android, iOS, Mac sowie Outlook im Web und andere M365-Dienste nicht betroffen.

• Microsoft Outlook 2016 (64-Bit-Edition)
• Microsoft Outlook 2013 Service Pack 1 (32-Bit-Editionen)
• Microsoft Outlook 2013 RT Service Pack 1
• Microsoft Outlook 2013 Service Pack 1 (64-Bit-Editionen)
• Microsoft Office 2019 für 32-Bit-Editionen
• Microsoft 365 (Enterprise) für 32-Bit-Systeme
• Microsoft Office 2019 für 64-Bit-Editionen
• Microsoft 365 (Enterprise) für 64-Bit-Systeme
• Microsoft Office LTSC 2021 für 64-Bit-Editionen
• Microsoft Outlook 2016 (32-Bit-Edition)
• Microsoft Office LTSC 2021 für 32-Bit-Editionen

Microsoft hat unter https://aka.ms/CVE-2023-23397ScriptDoc Skripts zur Folgenabschätzung mitsamt detaillierten Anweisungen zu ihrer Ausführung bereitgestellt.

Wie können Sie Ihre Organisation schützen?

• Installieren Sie das Sicherheitsupdate für Microsoft Outlook zur Behebung des Problems.
• Blockieren Sie alle ausgehenden TCP445/SMB-Verbindungen zu Zielen außerhalb Ihres Netzwerks.
• Microsoft empfiehlt zudem, gefährdete User zur Sicherheitsgruppe „Geschützte Benutzer“ hinzuzufügen, um die Anwendung des NTLM-Authentifizierungsmechanismus zu verhindern. Dabei handelt es sich um eine Behelfslösung, die bis zur Implementierung der Sicherheitsupdates angewendet werden kann. Sie beeinträchtigt jedoch die Nutzung von Anwendungen, die NTLM-Authentifizierung für ihren regulären Betrieb verwenden. Diese Maßnahme eignet sich insbesondere zur Absicherung besonders schutzbedürftiger User-Konten mit Domain-Administratorrechten. Sobald die Sicherheitsupdates implementiert wurden, sollten die User wieder aus der Sicherheitsgruppe entfernt werden, sodass sie wie gehabt über NTLM-Authentifizierung auf Anwendungen zugreifen können.

Schutzmaßnahmen von Zscaler

Advanced Threat Protection

• HTML.Exploit.CVE-2023-23397

Wir haben bereits zusätzliche Schutzmechanismen zur Abwehr bekannter Exploit-Angriffe eingerichtet und arbeiten aktuell an der Optimierung allgemeiner Maßnahmen zur Erkennung der betreffenden Sicherheitsrisiken.

Ausführlichere Informationen zu den von Zscaler veröffentlichten Bedrohungssignaturen finden Sie in der Zscaler Threat Library.