10
Outlook-Schwachstelle CVE-2023-23397 vollständig abgesichert?
Kann mir jemand sagen, ob die Schwachstelle CVE-2023-23397 bereits endgültig gefixt wurde? Werde absolut nicht fündig im Netz.
Problem beim März 2023 Update war ja, dass die Lücke nicht vollständig geschlossen wurde.
In den Release-Notes findet ich auch nichts (bzw. wird nicht auf die Lücke eingegangen).
Beste Grüße
Patrick
Problem beim März 2023 Update war ja, dass die Lücke nicht vollständig geschlossen wurde.
In den Release-Notes findet ich auch nichts (bzw. wird nicht auf die Lücke eingegangen).
Beste Grüße
Patrick
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6996200624
Url: https://administrator.de/contentid/6996200624
Printed on: April 28, 2024 at 09:04 o'clock
10 Comments
Latest comment
Moin Patrick,
schau mal hier (Antwort von R.S.):
https://www.frankysweb.de/outlook-cve-2023-23397-was-ist-zu-tun/
Letztlich solltest Du also mit dem Testscript checken, ob Du überhaupt betroffen bist. Hast Du nichts gefunden und alle Updates installiert, solltest Du sicher sein.
Gruß
schau mal hier (Antwort von R.S.):
https://www.frankysweb.de/outlook-cve-2023-23397-was-ist-zu-tun/
Letztlich solltest Du also mit dem Testscript checken, ob Du überhaupt betroffen bist. Hast Du nichts gefunden und alle Updates installiert, solltest Du sicher sein.
Gruß
Ich frag mal für Patrick anders:
Muss man immer noch alle Computer mit dem Testscript prüfen (und in welchem Rhythmus) oder ist die Schwachstelle endlich gefixt, indem man alle Updates installiert?
Muss man immer noch alle Computer mit dem Testscript prüfen (und in welchem Rhythmus) oder ist die Schwachstelle endlich gefixt, indem man alle Updates installiert?
@Coreknabe:
Danke.
Bez. Testscript: Damit kann ich aber "nur" überprüfen ob ich befallen bin und nicht, ob das System nun wirklich sicher ist, oder? Zumindest deute ich das so.
Bez. Dem Kommentar von R.S.: Danke, diese Antwort bringt etwas mehr Licht ins Dunkel.
@NordicMike:
Besten Dank - so war es gemeint von mir.
Hab zwar eh Port 445 ausgehend gesperrt. Aber meine Frage bezog sich darauf, wieweit das - zur expliziten Ausnutzung dieser Lücke - tatsächlich noch erforderlich ist (von dem abgesehen, dass der Port ausgehend sowieso gesperrt sein sollte, wenn man ihm nicht benötigt).
Beste Grüße
Patrick
Danke.
Bez. Testscript: Damit kann ich aber "nur" überprüfen ob ich befallen bin und nicht, ob das System nun wirklich sicher ist, oder? Zumindest deute ich das so.
Bez. Dem Kommentar von R.S.: Danke, diese Antwort bringt etwas mehr Licht ins Dunkel.
@NordicMike:
Besten Dank - so war es gemeint von mir.
Hab zwar eh Port 445 ausgehend gesperrt. Aber meine Frage bezog sich darauf, wieweit das - zur expliziten Ausnutzung dieser Lücke - tatsächlich noch erforderlich ist (von dem abgesehen, dass der Port ausgehend sowieso gesperrt sein sollte, wenn man ihm nicht benötigt).
Beste Grüße
Patrick
Der Ablauf sollte wie folgt sein:
Gruß
- Testskript laufen lassen und auf Auffälligkeiten achten, keine Panik, da massenhaft Fehlalarme möglich. Zumindest mit der Version, die ich damals genutzt habe, gibt eine aktualisierte Version.
- Keine Auffälligkeiten? Keine Probleme. Anmerkung für Profi-Paranoiker: Es sei denn, der Angreifer hat danach seine Spuren verwischt.
- Auffälligkeiten: Updates installieren und Lücke schließen (Port 445), ALLE Passwörter im AD ändern.
- In jedem Fall lässt sich die Lücke nach der Update-Installation nicht mehr ausnutzen. Schwacher Trost, da sie bereits seit Monaten genutzt werden konnte.
Gruß
Nein, es ist weiterhin möglich im lokalen Intranet über diese Lücke an Credentials zu kommen. So beschreibt es Microsoft:
https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elev ...
Will man mehr, dann sollte man versuchen, NTLM zu deaktivieren. Ob man NTLM überhaupt braucht, kann man testen: füge den Nutzer zur eingebauten Domänengruppe "protected users" hinzu. Laufen alle Authentifizierungen ohne Probleme, dann braucht der Nutzer kein NTLM.
https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elev ...
The Outlook update addresses the vulnerability by only using the path to play a sound when from a local, intranet or trusted network source.
Es ist seitens Microsoft nicht beabsichtigt, es noch weiter abzusichern.Will man mehr, dann sollte man versuchen, NTLM zu deaktivieren. Ob man NTLM überhaupt braucht, kann man testen: füge den Nutzer zur eingebauten Domänengruppe "protected users" hinzu. Laufen alle Authentifizierungen ohne Probleme, dann braucht der Nutzer kein NTLM.
1
@dww
Danke für die Ergänzung!
Danke für die Ergänzung!
Spannende Sache...
Aber danke für die Aufklärung!
Scheinbar doch: Das Problem scheint nun endgültig gelöst!
Sicher? Der netzinterne Angriff funktioniert weiterhin, denke ich, denn anders beschrieben als zuvor ist es nach dem Update nicht.
Was der neue Fix macht, ist nur gemacht worden, um den Bypass des alten Fixes nicht länger zu ermöglichen.
Was der neue Fix macht, ist nur gemacht worden, um den Bypass des alten Fixes nicht länger zu ermöglichen.
Zitat von @DerWoWusste:
Der netzinterne Angriff funktioniert weiterhin, denke ich, denn anders beschrieben als zuvor ist es nach dem Update nicht.
Der netzinterne Angriff funktioniert weiterhin, denke ich, denn anders beschrieben als zuvor ist es nach dem Update nicht.
Da hast du wohl recht, dass dies scheinbar weiterhin möglich ist.
