Silverfort Schutz vor CVE-2023-23397 Outlook Zero Day
March 16th, 2023 Dor Segal
Im neusten Patchday veröffentlichte Microsoft einen Patch für CVE-2023-23397 Zero Day in Outlook, das Berichten zufolge in freier Wildbahn ausgenutzt wurde. Die Ausnutzung dieser Schwachstelle ermöglicht es einem Angreifer, NTLM-Hashes (äquivalent zu Benutzeranmeldeinformationen) von dem Zielcomputer abzugreifen und sie für böswilligen Zugriff auf andere Computer in der Umgebung zu verwenden. All dies würde stattfinden, sobald eine manipulierte E-Mail in den Posteingang der Maschine heruntergeladen wird, ohne dass eine Interaktion seitens des Opfers erforderlich wäre. Microsoft hat den Schweregrad dieser Schwachstelle als „kritisch“ eingestuft und seine Ausbeutung verfolgt an eine russische APT-Gruppe, die es auf eine begrenzte Anzahl von Organisationen in den Bereichen Regierung, Transport, Energie und Militär in Europa abgesehen hat. In diesem Artikel bieten wir eine kurze Analyse von CVE-2023-23397 und zeigen, wie SilverfortDie Unified Identity Protection-Plattform von kann die Auswirkungen der Ausnutzung mindern mit einer einfachen Richtlinie, die durchsetzt MFA zu NTLM-Authentifizierungen.
Inhaltsverzeichnis
CVE-2023-23397 Hochrangige Analyse
Beschreibung der zielgerichteten Outlook-Komponente
CVE-2023-23397 ist eine Elevation of Privilege-Schwachstelle im Outlook-Client für Windows. Es missbraucht ein noch vorhandenes antikes Attribut, das einen angepassten Alarmton für einen geplanten Termin ermöglicht. Laut Microsoft Dokumentation das Attribut 'PidLidReminderFileParameter' akzeptiert einen vollständigen Pfad einer Sounddatei. Dieses Feld unterstützt den UNC-Pfad (Universal Naming Convention) für den Zugriff auf entfernte Dateien und Ordner mit dem standardmäßigen Netzwerk-Dateifreigabeprotokoll SMB. Wenn der Termin ist überfällig, löst es den benutzerdefinierten Sound aus und zwingt Outlook, die Remotedatei zu erreichen.
Wo ist die Schwachstelle in dieser Komponente?
Das Problem bei diesem Verhalten besteht darin, dass während der Erstellung der SMB-Sitzung eine NTLM-Authentifizierung beim Remote-Server vorgenommen wird. Durch das Abfangen der Sitzung kann ein Angreifer einen NTLM-Relay-Angriff gegen einen anderen Dienst im Namen des Opfers durchführen oder alternativ den NTLM-Hash brutal erzwingen und das Kennwort des Benutzers erlangen.
Daher empfehlen wir in erster Linie dringend, alle Outlook-Clients für Windows auf die neueste Version zu aktualisieren.
CVE-2023-23397 Risiko: Anmeldedatendiebstahl ohne erforderliche Benutzerinteraktion
Die einzige Sorge in Bezug auf diese Schwachstelle besteht darin, dass sie ohne Benutzerinteraktion in dem Moment ausgelöst werden kann, in dem der Outlook-Client den böswilligen Termin erhält. Dies liegt daran, dass das fehlerhafte Attribut ausgelöst wird, falls der Termin ist überfällig. Dies unterscheidet es dramatisch von allen Sicherheitslücken, die eine Interaktion erfordern, wie z. B. das Öffnen eines Anhangs oder das Klicken auf einen Link. Der gesamte Exploitationsprozess findet im Hintergrund statt und gibt dem Angreifer die Möglichkeit, im Namen des Benutzers auf Ressourcen zuzugreifen.
Dem gängigen Sicherheits-Stack in heutigen Unternehmen mangelt es an der Fähigkeit, Gefahren in Echtzeit zu erkennen und zu verhindern seitliche Bewegung Angriffe, die NTLM-Relay verwenden. Dies macht CVE-2023-23397 zu einer unmittelbaren Bedrohung, die angegangen werden muss.
Silverfort Minderung der Nutzung von CVE-2023-23397
Silverfort's Unified Identitätsschutz Die Plattform kann vor der Ausnutzung von CVE-2023-23397 schützen. Während Silverfort wird die Ausbeutung selbst nicht verhindern dem Angreifer die Möglichkeit nehmen, den gestohlenen Hash für böswilligen Zugriff zu verwenden, mit einer einfachen MFA-Richtlinie.
Silverfort führt eine kontinuierliche Echtzeitüberwachung, Risikoanalyse und Richtliniendurchsetzung für alle Authentifizierungen in der AD-Umgebung durch. Als solches kann es NTLM-Authentifizierungen identifizieren und diese Identifizierung nutzen, um die MFA-Überprüfung auszulösen.
Empfohlene Richtlinie zum Schutz vor potenziellen NTLM-Relay-Angriffen
Wir empfehlen folgendes:
1. Konfigurieren Sie eine NTLM-Richtlinie für jeden Server, der dem Internet ausgesetzt ist. Als zusätzliche Vorsichtsmaßnahme können Sie auch sensible Ressourcen einbeziehen, die nicht dem Internet ausgesetzt sind, da diese Schwachstelle auch innerhalb des Netzwerks angewendet werden kann.
2. Wenden Sie die MFA-Richtlinie für Nicht-NTLM-Authentifizierungsprotokolle an, da es Varianten gibt, wie die Schwachstelle ausgenutzt werden kann, bei der das Kennwort brutal erzwungen werden kann, wodurch der Angreifer die Möglichkeit erhält, es auch mit anderen Authentifizierungsprotokollen zu verwenden.
Wenn Sie die Möglichkeit finden, NTLM und andere AD-Protokolle mit MFA zu schützen, können Sie sich gerne an uns wenden DEMOVERSION ANFORDERN oder besuchen Sie unsere Website .
