Kritische Sicherheitslücke CVE-2023-23397 in Microsoft Outlook
Die MSP Kunden von ITcares sind abgesichert, geschützt und NICHT betroffen.
In diesem Beitrag erfahren Sie, wie wir Ihnen dabei helfen können, Microsoft Outlook / Microsoft Exchange sicher zu nutzen.
CVE-2023-23397 ist eine kritische Sicherheitslücke in Outlook, die eine Erhöhung der Berechtigungen und eine Umgehung der Authentifizierung ermöglicht und als Teil des März-Patch-Dienstag-Paketes veröffentlicht wurde. Die Sicherheitslücke, die alle Versionen von Windows Outlook betrifft, wurde mit einem CVSS-Wert von 9,8 bewertet und ist eine von zwei Zero-Day-Schwachstellen, die am 14. März veröffentlicht wurden.
Was ist CVE-2023-23397?
CVE-2023-23397 ist eine EoP-Schwachstelle (Elevation of Privilege) in Microsoft Outlook. Es handelt sich um einen Zero-Touch-Exploit, d. h. die Sicherheitslücke erfordert nur eine geringe Komplexität, um sie auszunutzen, und erfordert keine Benutzerinteraktion.
Wie wird CVE-2023-23397 ausgenutzt?
Der Angreifer sendet aus der Ferne eine bösartige Kalendereinladung im Format .msg (das Nachrichtenformat, das Erinnerungen in Outlook unterstützt), um den anfälligen API-Endpunkt PlayReminderSound unter Verwendung von „PidLidReminderFileParameter“ (die benutzerdefinierte Warntonoption für Erinnerungen) auszulösen.
Wenn das Opfer eine Verbindung zum SMB-Server des Angreifers herstellt, sendet die Verbindung zum Remote-Server automatisch die NTLM-Verhandlungsnachricht (New Technology LAN Manager) des Benutzers, die der Angreifer zur Authentifizierung gegenüber anderen Systemen verwenden kann, die die NTLM-Authentifizierung unterstützen.
NTLMv2-Hashes sind das neueste Protokoll, das Windows für die Authentifizierung verwendet, und es wird für eine Reihe von Diensten verwendet, wobei jede Antwort eine gehashte Darstellung der Benutzerinformationen, wie z. B. den Benutzernamen und das Kennwort, enthält. So können Bedrohungsakteure versuchen, einen NTLM-Relay-Angriff durchzuführen, um Zugang zu anderen Diensten zu erhalten, oder Domänen vollständig zu kompromittieren, wenn die kompromittierten Benutzer Administratoren sind. Während Online-Dienste wie Microsoft 365 für diesen Angriff nicht anfällig sind, weil sie die NTLM-Authentifizierung nicht unterstützen, ist die Microsoft 365 Windows Outlook-App dennoch anfällig.
Wie einfach ist CVE-2023-23397 auszunutzen?
Eine Benutzerinteraktion ist nicht erforderlich, um sie auszulösen (auch nicht vor der Nachrichtenvorschau), und sie erfordert auch keine hohen Berechtigungen. CVE-2023-23397 ist eine Zero-Touch-Schwachstelle, die ausgelöst wird, wenn der Opfer-Client aufgefordert und benachrichtigt wird (z. B. wenn bei einem Termin oder einer Aufgabe fünf Minuten vor der vorgesehenen Zeit eine Aufforderung erscheint). Es ist schwierig, den ausgehenden SMB-Datenverkehr für Remote-Benutzer zu blockieren. Der Angreifer könnte dieselben Anmeldeinformationen verwenden, um Zugang zu anderen Ressourcen zu erhalten.
Ist CVE-2023-23397 im Umlauf? Welche Versionen und Betriebssysteme (OS) sind betroffen?
Es gibt Meldungen über Angriffe, die diese Lücke ausnutzen. Microsoft hat sich mit den betroffenen Opfern beraten, um dieses Problem zu beheben. Alle unterstützten Versionen von Microsoft Outlook für Windows sind betroffen.
Was können Sie unternehmen, um das Risiko eines Angriffs auf CVE-2023-23397 zu verhindern und zu mindern?
Endpoint Protection mittels Managed Cloud Firewall
Managed Cloud Firewall von ITcares
Da viele Unternehmen auf Cloud-basierte Anwendungen umsteigen, haben sich die Anforderungen an die IT-Security entsprechend weiterentwickelt, was zur Einführung von Cloud Firewalls geführt hat. Ähnlich wie herkömmliche Firewalls verwalten Cloud Firewalls den Informationsfluss zwischen externen und internen Systemen. Cloud Firewalls eignen sich besonders zum Schutz verteilt arbeitender Organisationen oder von Unternehmen, die hybride IT-Services (On-Premise und Cloud) nutzen.
Denken Sie an Mitarbeiter, die flexibel aus dem Home- oder Remote-Office arbeiten und sich über das Internet mit dem Unternehmen verbinden. Oder denken Sie an die Nutzung Cloud-basierter File-Services, wie bspw. Microsoft OneDrive oder Online Kollaborations-Plattformen.
An dieser Stelle setzen Cloud Firewalls an und ergänzen existierende Firewalls. Managed Cloud Firewalls werden manchmal auch als „Next-Generation Firewalls“ bezeichnet und dienen der Abwehr moderner Bedrohungen und dem Schutz Ihres Unternehmens.
Managed Cloud Firewall unterstützt bei der Verhinderung von Angriffen wie CVE-2023-23397
Durch den dezentralen Ansatz können Cloud Firewalls den Datenverkehr aus einer Vielzahl von Quellen filtern, sei es aus dem Internet, zwischen Mandanten, zwischen virtuellen Netzwerken und Systemen und sogar aus dem virtuellen Rechenzentrum. Durch diesen Ansatz können Angrifsvektoren wie CVE-2023-23397 früh erkannt und gefiltert / blockiert werden. Dies ist die erste Sicherheitsebene und ergänzt die folgenden Managed Services von ITcares.
Managed E-Mail Security von ITcares
Bietet Schutz für geschäftliche E-Mails vor Bedrohungen
Managed E-Mail Security
Es gibt viele Bedrohungen, welche die E-Mail-Sicherheit gefährden können. Cyber-Kriminelle verschicken E-Mails, die Schadsoftware enthalten. Wenn ein Mitarbeiter versehentlich auf einen Link klickt oder einen Anhang herunterlädt, kann die Malware Ihre IT-Infrastruktur befallen. Dies kann Ihre Geschäftsprozesse zum Erliegen bringen.
Mit unseren Managed E-Mail Security Services adressieren wir diese Probleme, und setzen leistungsfähige Sicherheitstools ein. Diese Tools schützen Ihre geschäftlichen E-Mails vor Angreifern. Auf diese Weise werden Ihre geschäftlichen E-Mails vor Viren, Spam, Phishing-Angriffen und anderen Sicherheitsbedrohungen geschützt.
Managed E-Mail Security bietet eine zusätzliche Sicherheitsebene
Unsere Managed E-Mail Security Services können flexibel erweitert werden, um bspw. Managed Firewall, Managed Antivirus, Managed Backup usw. Dies hilft, mögliche Bedrohungen frühzeitig zu erkennen.
Wir stellen sicher, dass nur autorisierte Benutzer auf geschäftliche E-Mails zugreifen können. Dazu setzen wir auf Verschlüsselungsmethoden und Multi-Faktor-Authentifizierung, um zu verhindern, dass unbefugte Benutzer auf geschäftliche E-Mail-Konten zugreifen können.
Nutzen Sie Exchange aus der sicheren privaten Cloud von ITcares
Managed Server
Wir stellen Ihnen die Exchange Funktionalität auf Ihrem „eigenen“ Server zur Verfügung, mit dem Unterschied, dass Sie sich um nichts kümmern müssen. Wir überwachen und betreiben die Systeme als Managed Server komplett für Sie, auf Wunsch sogar 7×24.
Alle Managed Server werden 7×24 mit Software-Agenten überwacht, die den aktuellen Status der Server an eine zentrale Leitstelle bei ITcares melden. So erkennen wir rechtzeitig Trends, wie bspw. volle Festplatten, und können potenzielle Unterbrechungen und Ausfälle proaktiv vermeiden. Sie brauchen sich um nichts zu kümmern!
Mit einem Patch-Management Programm prüfen wir die Managed Server regelmäßig auf verfügbare Patches und Updates. Selbstverständlich beachten wir dabei die vereinbarten Service-Levels, spielen Updates und neue Versionen außerhalb Ihrer Arbeitszeit ein, sodass Ihre Mitarbeiter ungestört arbeiten können.
Alle vorgenommenen Änderungen werden automatisch dokumentiert. So haben Sie zu jeder Zeit die Sicherheit, dass alle Managed Server über den gleichen, aktuellen und dokumentierten Stand verfügen.
Die Vorteile unserer Managed Services auf einen Blick
Nutzen Sie die Vorteile der Managed Services von ITcares, welche mit mehreren aufeinander abgestimmten E-Mail-Virenscannern und den führenden Phishing-Datenquellen verbunden sind. Ergänzt durch eine Anti-Spam-Engine, Spoofing-Schutz und Sand Boxing. Geben Sie sich nicht mit weniger zufrieden, wenn es um E-Mail-Sicherheit geht. Vertrauen Sie einem Anbieter mit innovativen Lösungen, die über den Stand der Technik hinausgehen. Mit den ITcares Managed E-Mail Security Services profitieren Sie von innovativen Schutzfunktionen mit modernster Software. Ergänzt durch Klassifizierung und Bedrohungsabwehr von führenden Technologieanbietern nach unserem „Best of Breed“-Ansatz.
Fakt ist: Mit unseren Managed Services haben Sie mehr Zeit und Kapazität für Ihr eigentliches Kerngeschäft!
Autor: summ-it
Shutterstock #2267960257, #1816126136 und summ-it Unternehmensberatung