Tags: Exchange, E-Mail, Office, Schwachstellen
Outlook für Windows leidet unter einer Schwachstelle (CVE-2023-23397), die Angreifern ohne Zutun eines Benutzers den Diebstahl der NTLM-Credentials erlaubt. Microsoft bietet dafür einen Patch an und empfiehlt vorbeugende Maßnahmen. Darüber hinaus veröffentlichte der Hersteller die Security-Updates für Exchange Server.
Um CVE-2023-23397 auszunutzen, versenden Angreifer eine speziell präparierte E-Mail, die Outlook veranlasst, eine SMB-Verbindung zu einem externen UNC-Verzeichnis aufzubauen, das sich unter der Kontrolle des böswilligen Akteurs befindet. Auf diese Weise kann er den Net-NTLMv2-Hash des Opfers abgreifen und für die Anmeldung an anderen System des Unternehmens missbrauchen ("Pass the Hash").
Benutzer können Angriff nicht vermeiden
Der Empfänger einer solchen Nachricht muss diese nicht einmal lesen, selbst das Öffnen in der Vorschau ist nicht unbedingt notwendig. Zudem ist dieser Angriffsvektor unabhängig davon, welches Mail-System der Anwender auf dem Server nutzt, auch Exchange Online kommt dafür in Frage.
Betroffen von der Schwachstelle sind alle aktuell unterstützten Versionen von Outlook für Windows, nicht jedoch die Ausführungen für andere Betriebssysteme. Microsoft bietet bereits Security-Updates an, um dieses Problem zu beheben.
Ergänzende Maßnahmen
Zusätzlich stellt der Anbieter ein PowerShell-Script zur Verfügung, mit dem sich E-Mails, Kalendereinträge und Aufgaben auf einem Exchange-Server auf enthaltene UNC-Pfade untersuchen lassen.
Dieses liefert im Audit-Modus eine detaillierte Liste mit allen Elementen, in deren Eigenschaften ein UNC-Pfad eingetragen ist, und speichert sie in einer CSV-Datei. Im Cleanup Mode räumt es entweder die betroffene Eigenschaft oder das ganze Element ab.
Als vorbeugende Maßnahme gegen NTLM-Angriffe legt Microsoft den Unternehmen nahe, zumindest privilegierte Konten in die AD-Gruppe Protected Users aufzunehmen, weil ihnen damit die Authentifizierung über NTLM verwehrt wird. Im Vergleich mit anderen Verfahren zur Deaktivierung von NTLM lässt sich die Gruppenzugehörigkeit bei Bedarf relativ leicht rückgängig machen.
Außerdem sollten SMB-Verbindung zu Zielen außerhalb des Unternehmens grundsätzlich verhindert werden. Dazu blockiert man in der Firewall den ausgehenden TCP-Traffic auf Port 445.
März-Updates für Exchange
Die Security Updates (SUs) für Exchange Server beheben ebenfalls einige Schwachstellen, die aber im Unterschied zu CVE-2023-23397 laut Microsoft bis dato in der Praxis noch nicht ausgenutzt wurden.
Außerdem beseitigen sie mehrere Probleme, die zum Teil durch vorhergehende Updates verursacht wurden. Dazu gehören:
- Der Exchange Web Service (EWS) hängte sich unter bestimmten Umständen nach dem Februar-Update auf;
- Exchange Toolbox und Queue Viewer funktionierten nach dem Signieren der PowerShell-Serialisierungdaten mittels Zertifikat nicht mehr;
- Einige Kunden, die Richtlinien für die Aufbewahrung von E-Mails definiert hatten, konnten Extended Protection nicht aktivieren. Als Übergangslösung hatte Microsoft ein Script angeboten, dessen Änderungen man nach der Installation der neuen Security Updates rückgängig machen sollte.
Die SUs gibt es für Exchange 2013 CU23, Exchange 2016 CU23 Sowie für Exchange 2019 mit CU11 oder CU12.
Der Support für Exchange 2013 endet im April 2023, so dass dies wohl das letzte Security Update für diese Version sein dürfte.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Outlook: Aus freigegebenem Postfach versandte Mails landen nicht im Ordner "Gesendete Elemente"
- Signaturen für E-Mails in Exchange Online zentral erstellen und pflegen
- Outlook-Roadmap: Aus für klassische Desktop-Version in zwei Jahren
- Outlook-Ordner auf Englisch: Sprache ändern
- Exchange Online setzt nun DMARC-Policy um
Weitere Links