Was ist passiert?

Am 14.03.2023 hat Microsoft Details zu einer kritischen Schwachstelle in Microsoft Outlook veröffentlicht (CVE-2023-23397). Dabei handelt es sich um eine Sicherheitslücke, bei der Net-NTLMv2 Hashes abgegriffen werden, die zur Authentifizierung genutzt werden können. Dabei benötigt der Angreifer keine Interaktion des Benutzers. Es ist bereits ausreichend, wenn eine entsprechend manipulierte E-Mail auf dem Mailserver verarbeitet wird.

Weiterhin wurde bekannt, dass diese Sicherheitslücke bereits aktiv ausgenutzt wird. Ebenfalls warnt das BSI vor dieser kritischen Schwachstelle und sieht hier dringenden Handlungsbedarf.

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-214328-1032.pdf?__blob=publicationFile&v=3

Was ist NTLM?

NTLM steht für “NT LAN Manager” und ist ein Authentifizierungsprotokoll, das von Microsoft entwickelt wurde. Es wird hauptsächlich in Windows-Netzwerken verwendet, um Benutzer zu authentifizieren und Autorisierung für den Zugriff auf Ressourcen zu erteilen. Obwohl NTLM immer noch in einigen Windows-Netzwerken verwendet wird, wird es zunehmend durch das neueren Kerberos-Authentifizierungsprotokoll ersetzt, das sicherer und effizienter ist.

Wie groß ist die Gefahr?

Microsoft selbst stuft die Schwachstelle als sehr kritisch mit einem Score von 9.1/10 ein. Insbesondere die einfache Ausnutzung ohne Benutzerinteraktion und die bereits erfolgten Angriffe, lassen darauf schließen, dass neue Angriffswellen bevor stehen und daher eine Dringlichkeit gegeben ist. Laut “bleepingcomputer” wurde diese Sicherheitslücke bereits seit April 2022 für Angriffe genutzt.

Microsoft has patched an Outlook zero-day vulnerability (CVE-2023-23397) exploited by a hacking group linked to Russia’s military intelligence service GRU to target European organizations.

The security vulnerability was exploited in attacks to target and breach the networks of fewer than 15 government, military, energy, and transportation organizations between mid-April and December 2022.

The hacking group (tracked asAPT28,STRONTIUM, Sednit, Sofacy, and Fancy Bear) sent malicious Outlook notes and tasks to steal NTLM hashes via NTLM negotiation requests by forcing the targets’ devices to authenticate to attacker-controlled SMB shares.

bleepingcomputer.com (2023): Microsoft fixes Outlook zero-day used by Russian hackers since April 2022, [online] https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-outlook-zero-day-used-by-russian-hackers-since-april-2022/ [15.03.2023].

Wie sollten Sie reagieren?

Microsoft hat bereits Sicherheitsupdates für diese Sicherheitslücke bereitgestellt. Falls Updates nicht direkt eingespielt werden können, gibt Microsoft folgende Ratschläge zur Minimierung des Risikos:

Dazu macht Microsoft folgende Angaben:

• Add users to the Protected Users Security Group, which prevents the use of NTLM as an authentication mechanism. Performing this mitigation makes troubleshooting easier than other methods of disabling NTLM. Consider using it for high value accounts such as Domain Admins when possible.Please note:This may cause impact to applications that require NTLM, however the settings will revert once the user is removed from the Protected Users Group. Please seeProtected Users Security Groupfor more information.
• Block TCP 445/SMB outbound from your network by using a perimeter firewall, a local firewall, and via your VPN settings. This will prevent the sending of NTLM authentication messages to remote file shares.

Weiterhin stelle Microsoft ein Skript bereit, mit dem geprüft werden kann, ob es bereits zu einer Ausnutzung der Schwachstelle gekommen ist. Dieses Skript muss auf dem Exchange-Server ausgeführt werden:

https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

Wir empfehlen dringend, die aktuellen Sicherheitsupdates für Microsoft Office zu installieren

Für unsere Managed Client Kunden werden diese Sicherheitsupdates automatisch installiert, weiterhin prüfen wir die von Microsoft genannten Risikominimierungsmaßnahmen.

Wenn Sie weitere Informationen zu dem Thema oder wie Sie Ihre IT schützen können, erhalten möchten, können Sie uns jederzeit gerne kontaktieren und einen Termin zu einem kostenlosen Erstgespräch buchen.
Weiterhin empfehlen wir auch unser kostenloses Whitepaper “Wie schütze ich mein Unternehmen gegen Cyberattacken”.