Microsoft meldet eine Sicherheitslücke bei seinem Email-Programm Outlook. (CVE-2023-23397) Mit einem CVSS-Score von 9,8 wird sie als sehr kritisch angesehen und wir bereits aktiv genutzt.
Sicherheitslücke bei Microsoft Outlook entdeckt
Worum geht's?
Ein Angreifer schickt eine vorformatierte Mail an Outlook. Da Outlook beim Lesen der Mail eine NTLM-Verbindung über WebDAV aufbaut und der Angreifer einen präparierten Server bereitstellt, bekommt er so einen Hashwert, den er weiter verwenden kann.
„Die Verbindung zum entfernten SMB-Server sendet die NTLM-Aushandlungsnachricht des Benutzers, die der Angreifer dann zur Authentifizierung an andere Systeme weiterleiten kann, die die NTLM-Authentifizierung unterstützen“, heißt es von Microsoft.
Was ist zu tun?
Unsere Kunden, die wir im Bereich der Mail-Security betreuen, müssen erstmal nicht tätig werden, da unser Partner Hornet die Lücke erkannt hat und die schädlichen Emails herausfiltert. Kunden mit einen Patch Management-Vertrag werden zudem automatisch mit erfolgreichen Updates versorgt.
Auch Kunden mit NoSpamProxy sind laut dem Hersteller abgesichert.
Allen anderen Usern empfehlen wir dringend ihr System zu patchen:
- Microsoft’s March 2023 Patch Tuesday Addresses 76 CVEs (CVE-2023-23397)
https://www.tenable.com/blog/microsofts-march-2023-patch-tuesday-addresses-76-cves-cve-2023-23397 - Released: March 2023 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2023-exchange-server-security-updates/ba-p/3764224 - Microsoft Patch Tuesday, March 2023 Edition
https://krebsonsecurity.com/2023/03/microsoft-patch-tuesday-march-2023-edition/ - Microsoft Security Update Summary (14. März 2023)
https://www.borncity.com/blog/2023/03/15/microsoft-security-update-summary-14-mrz-2023/ - Outlook wegen kritischer Schwachstelle CVE-2023-23397 patchen
https://www.borncity.com/blog/2023/03/16/outlook-wegen-kritischer-schwachstelle-cve-2023-23397-patchen/