Wie jeden Monat schließt Microsoft am Patchday (nun am 14. März) wieder unzählige Schwachstellen in den eigenen Produkten. Zwei davon sind aber besonders nennenswert, denn diese werden bereits aktiv ausgenutzt und haben durch Ihr CVSS-Scoring einen besonders wichtigen Stellenwert:
- CVE-2023-23397 (Microsoft Outlook Elevation of Privilege Vulnerability)
- CVE-2023-24880 (Windows SmartScreen Security Feature Bypass Vulnerability)
CVE-2023-23397 (Microsoft Outlook Elevation of Privilege Vulnerability)
Die erste Schwachstelle hat einen CVSS-Wert von 9.8 (kritisch) und ist damit sehr einfach und effektiv in der Ausnutzung. Angreifer können dabei eine speziell erstellte E-Mail nutzen, um den Net-NTLMv2 Hash eines Benutzers abzugreifen. Dieser kann daraufhin genutzt werden, um einen NTLM-Relay Angriff gegen einen anderen Dienst zu starten und sich somit als das Opfer ausgeben. Leider ist der Angriff schon erfolgreich, wenn das Mail nur zugestellt wird und Outlook diese verarbeitet hat. Updaten Sie deswegen umgehend Ihren Outlook Client. Angriffe wurden bereits bemerkt und können ein gesamtes Unternehmen infizieren. Um solche Attacken zukünftig zu verhindern, stellt Microsoft einen eigenen Artikel zur Verfügung, der Pass-The-Hash angriffe abschwächen kann. Mehr finden Sie hier. Generell sollte man aber überlegen, ob die Nutzung von NTLMv2 Hashes noch sinnvoll ist und einen schnellen Wechsel auf Kerberos anstreben.
CVE-2023-24880 (Windows SmartScreen Security Feature Bypass Vulnerability)
Die zweite Schwachstelle hat einen CVSS-Wert von 5.4 (mittel) und ist damit nicht so gravierend wie ersteres. SmartScreen kennt man nicht so wie Outlook. Dieser Dienst wird von Microsoft betrieben, um vor Phishing und Malware zu schützen. Er ist im Standardsetup bereits aktiviert und arbeitet im Hintergrund. Durch die aktuelle Schwachstelle wurde es Angreifern ermöglicht, schadhafte Dateien zu erstellen, die die „Mark of the Web“ Schutzmaßnahmen umgehen können. Dadurch verliert diese Funktion die Leistung und Sicherheits Features wie „Protected View“ werden sinnlos. Laut Google wurde auch hierbei bereits eine Ausnutzung des „Magniber ransomware actor“ beobachtet. Mehr infos finden sich hier.
Was kann ich tun?
Installieren Sie umgehend das Update KB5023696 als auch KB890830. Dieses sollte bei Consumer ab heute in Ihren Einstellungen->Windows Update erscheinen. Zusätzlich sollte Outlook schnellstmöglich upgedatet werden, wenn Ihr Unternehmen noch NTLMv2 Hashes zur Authentifizierung nutzt.
