Microsoft-Outlook-Lücke: Proof-of-Concept verfügbar, Sorge vor Angriffen

Am März-Patchday hat Microsoft eine kritische Sicherheitslücke in Outlook gestopft. Ein jetzt veröffentlichter Proof-of-Concept-Exploit erleichtert Angriffe.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen

(Bild: Gorodenkoff/Shutterstock.com)

Lesezeit: 3 Min.
Von

Eine kritische Sicherheitslücke in Outlook wurde bereits angegriffen, als Microsoft sie mit den Updates zum März-Patchday abgedichtet hat. Kurze Zeit später haben IT-Forscher einen Proof-of-Concept-Exploit veröffentlicht. Cyberkriminelle können ihn für Angriffe missbrauchen. Es wird daher höchste Zeit, die bereitstehenden Aktualisierungen anzuwenden.

Die Beschreibung der Schwachstelle zum Patchday lautete: Angreifer könnten durch Ausnutzen der Schwachstelle CVE-2023-23397 an den Net-NTLMv2-Hash eines Benutzers gelangen. Der lässt sich bei einem NTLM-Relay-Angriff gegen einen anderen Dienst verwenden, um sich als das Opfer zu authentifizieren. Um die Sicherheitslücke ausnutzen, genügt das Senden einer speziell präparierten E-Mail. Die löst den Fehler automatisch aus, wenn der Outlook-Client sie abruft und verarbeitet. Der Fehler tritt auf, bevor die E-Mail im Vorschaufenster angezeigt wird. Eine derart manipulierte E-Mail kann eine Verbindung des Opfers zu einem Server der Angreifer auslösen, durch die der Net-NTLMv2-Hash des Opfers zu den Angreifern gelangt.

Microsoft hatte ein Powershell-Skript bereitgestellt, mit dem Administratoren Exchange-Server auf potenziell bösartige Nachrichten untersuchen können, die die Schwachstelle missbrauchen. Die Beurteilung, ob die Nachrichten tatsächlich bösartige Inhalte haben oder nicht, belässt Microsoft bei den Admins.

IT-Forscher von MDSec haben sich das Skript genauer angesehen und festgestellt, dass es speziell nach der Eigenschaft PidLidReminderFileParameter in Nachrichten sucht. Aus der Information haben sie dann den Proof-of-Concept-Exploit hergeleitet, der die Sicherheitslücke demonstriert. Cyberkriminelle können damit etwa leichter bösartige E-Mails erstellen und leichter potenzielle Opfer angreifen. Die Wahrscheinlichkeit, dass die Lücke in Cyber-Angriffen missbraucht wird, ist damit stark gestiegen.

Die IT-Sicherheitsfirma deepinstinct hat hingegen mehrere Angriffe beobachtet, die diese Schwachstelle missbraucht haben. "Nach Erkenntnissen von Microsoft Threat Intelligence hat ein in Russland ansässiger Bedrohungsakteur das Programm bei Angriffen verwendet, die zwischen April und Dezember 2022 auf die Netzwerke mehrerer Regierungen, Militär-, Energie- und Transportunternehmen in Europa abzielten und diese angriffen", führen die IT-Forscher aus.

Nach Angriffen auf rumänische Ziele im April bis Mai 2022, auf Polen im September bis November 2022, Jordanien im Oktober 2022, die Ukraine Anfang November und Dezember 2022 sowie die Türkei gegen Ende Dezember 2022 haben die IT-Forscher von deepinstinct womöglich Hinweise auf frühere Angriffe auf die Lücke gefunden. Sie schreiben, dass von Palo Alto Networks 2020 entdeckte Angriffe von iranischen Akteuren ausgegangen seien und vermutlich ebenfalls diese Sicherheitslücke missbraucht hätten. Es sei also nicht nur von russischen Angreifern auszugehen.

IT-Verantwortliche sollten die Aktualisierungen von Microsoft zügig anwenden, wenn sie das bislang noch nicht gemacht haben. Die Gefahr, Opfer eines Cyber-Angriffs zu werden, ist mit der Verfügbarkeit des PoCs stark gestiegen.

(dmk)