K-iS Security Advisory 2023-006 – Outlook-CVE-2023-23397

Aktive Ausnutzung einer Schwachstelle in Microsoft Outlook!

Microsoft hat einen Patch für eine Sicherheitslücke in Outlook herausgegeben. Die Sicherheitslücke, die nach dem Common Vulnerability Scoring System mit Werten von 9.0 und höher eingestuft wurde, ist als sehr kritisch zu bezeichnen.

Die Schwachstelle wird laut Microsoft bereits aktiv ausgenutzt! Angreifende können eine manipulierte E-Mail nutzen, um Net-NTLMv2 Hashes abzufangen. Der Angriff findet bereits beim Empfang der E-Mail mit dem lokalen Outlook statt und benötigt keine Aktion des Empfängers der E-Mail.

• HTTP Protocol Stack Remote Code Execution Vulnerability (CVE-2023-23392; CVSS-Score 9.8 [CVE2023b]):
  Eine Schwachstelle in vorrangig Windows Server 2022, sofern das HTTP/3-Protokoll aktiviert ist.
• Remote Procedure Call Runtime Remote Code Execution Vulnerability (CVE-2023-21708; CVSS-Score 9.8 [CVE2023c]):
  Betroffen sind Windows Server, deren Port 135 (RPC Endpoint Mapper) erreichbar ist.
• Internet Control Message Protocol (ICMP) Remote Code Execution Vulnerability (CVE-2023-23415; CVSS-Score 9.8 [CVE2023d]):
  Sofern eine Anwendung auf dem System Raw Sockets verwendet, könnte mithilfe manipulierter IP-Pakete aus der Ferne Code auf dem System ausgeführt werden.

Darüber hinaus adressiert Microsoft zahlreiche weitere Schwachstellen [MSRC2023a].

Maßnahmen:

• Aktuelle Office-Versionen mit allen verfügbaren Patchen installieren
• Update der Exchange On-Premises Server auf MrzSU23 (verfügbar für Exchange Server 2013, 2016 CU23, 2019 CU11 und CU12)
• Es besteht die Möglichkeit, durch ein von Microsoft bereitgestelltes Skript die Postfächer auf einen bereits stattgefundenen Angriff zu überprüfen. Da es sich hierbei um ein Problem in Outlook handelt, ist es egal, ob Ihr Postfach bei Exchange On-Premises oder Online vorhanden ist. (https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/)
• Prüfen, ob TCP 445/SMB nach ausgehend geblockt wird (Firewall)

Weiterführende Links:
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2023-exchange-server-security-updates/ba-p/3764224
https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-214328-1032.html
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-214328-1032.pdf?__blob=publicationFile&v=3
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

Gerne unterstützen wir Sie bei der Prüfung Ihrer Systeme und der Umsetzung der entsprechenden Maßnahmen. Melden Sie sich dazu bitte bei unserem Support und vereinbaren Sie einen zeitnahen Termin.

Zentraler Support der K-iS Systemhaus Unternehmensgruppe:
support@k-is.com| +49 271 31370-30 (D-Siegen) | +49 6761 9321-55 (D-Simmern) | +49 7681 474098-8 (D-Waldkirch) | +41-55-536-1020 (Schweiz)
Support der my-Office.ch GmbH:
support@my-office.ch | +41 61 303 04-05