Patch für kritische Outlook-Schwachstelle, Security-Updates für Exchange


    Tags: , , ,

    Outlook 2013 Splash ScreenOutlook für Windows leidet unter einer Schwachstelle (CVE-2023-23397), die Angreifern ohne Zutun eines Benutzers den Diebstahl der NTLM-Credentials erlaubt. Microsoft bietet dafür einen Patch an und empfiehlt vorbeugende Maßnahmen. Darüber hinaus veröffentlichte der Hersteller die Security-Updates für Exchange Server.

    Um CVE-2023-23397 auszunutzen, versenden Angreifer eine speziell präparierte E-Mail, die Outlook veranlasst, eine SMB-Verbindung zu einem externen UNC-Verzeichnis aufzubauen, das sich unter der Kontrolle des böswilligen Akteurs befindet. Auf diese Weise kann er den Net-NTLMv2-Hash des Opfers abgreifen und für die Anmeldung an anderen System des Unternehmens missbrauchen ("Pass the Hash").

    Benutzer können Angriff nicht vermeiden

    Der Empfänger einer solchen Nachricht muss diese nicht einmal lesen, selbst das Öffnen in der Vorschau ist nicht unbedingt notwendig. Zudem ist dieser Angriffsvektor unabhängig davon, welches Mail-System der Anwender auf dem Server nutzt, auch Exchange Online kommt dafür in Frage.

    Betroffen von der Schwachstelle sind alle aktuell unterstützten Versionen von Outlook für Windows, nicht jedoch die Ausführungen für andere Betriebs­systeme. Microsoft bietet bereits Security-Updates an, um dieses Problem zu beheben.

    Ergänzende Maßnahmen

    Zusätzlich stellt der Anbieter ein PowerShell-Script zur Verfügung, mit dem sich E-Mails, Kalender­einträge und Aufgaben auf einem Exchange-Server auf enthaltene UNC-Pfade untersuchen lassen.

    Dieses liefert im Audit-Modus eine detaillierte Liste mit allen Elementen, in deren Eigenschaften ein UNC-Pfad eingetragen ist, und speichert sie in einer CSV-Datei. Im Cleanup Mode räumt es entweder die betroffene Eigenschaft oder das ganze Element ab.

    Als vorbeugende Maßnahme gegen NTLM-Angriffe legt Microsoft den Unternehmen nahe, zumindest privilegierte Konten in die AD-Gruppe Protected Users aufzunehmen, weil ihnen damit die Authentifizierung über NTLM verwehrt wird. Im Vergleich mit anderen Verfahren zur Deaktivierung von NTLM lässt sich die Gruppen­zugehörigkeit bei Bedarf relativ leicht rückgängig machen.

    Außerdem sollten SMB-Verbindung zu Zielen außerhalb des Unternehmens grundsätzlich verhindert werden. Dazu blockiert man in der Firewall den ausgehenden TCP-Traffic auf Port 445.

    März-Updates für Exchange

    Die Security Updates (SUs) für Exchange Server beheben ebenfalls einige Schwachstellen, die aber im Unterschied zu CVE-2023-23397 laut Microsoft bis dato in der Praxis noch nicht ausgenutzt wurden.

    Außerdem beseitigen sie mehrere Probleme, die zum Teil durch vorhergehende Updates verursacht wurden. Dazu gehören:

    Die SUs gibt es für Exchange 2013 CU23, Exchange 2016 CU23 Sowie für Exchange 2019 mit CU11 oder CU12.

    Update-Pfade für die März-2023-SUs

    Der Support für Exchange 2013 endet im April 2023, so dass dies wohl das letzte Security Update für diese Version sein dürfte.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links