badger
Goto Top

Outlook-Schwachstelle CVE-2023-23397 vollständig abgesichert?

Kann mir jemand sagen, ob die Schwachstelle CVE-2023-23397 bereits endgültig gefixt wurde? Werde absolut nicht fündig im Netz.
Problem beim März 2023 Update war ja, dass die Lücke nicht vollständig geschlossen wurde.

In den Release-Notes findet ich auch nichts (bzw. wird nicht auf die Lücke eingegangen).

Beste Grüße
Patrick

Content-ID: 6996200624

Url: https://administrator.de/contentid/6996200624

Printed on: October 6, 2024 at 16:10 o'clock

Coreknabe
Coreknabe May 03, 2023 at 09:57:00 (UTC)
Goto Top
Moin Patrick,

schau mal hier (Antwort von R.S.):
https://www.frankysweb.de/outlook-cve-2023-23397-was-ist-zu-tun/

Letztlich solltest Du also mit dem Testscript checken, ob Du überhaupt betroffen bist. Hast Du nichts gefunden und alle Updates installiert, solltest Du sicher sein.

Gruß
NordicMike
NordicMike May 03, 2023 updated at 10:08:55 (UTC)
Goto Top
Ich frag mal für Patrick anders:

Muss man immer noch alle Computer mit dem Testscript prüfen (und in welchem Rhythmus) oder ist die Schwachstelle endlich gefixt, indem man alle Updates installiert?
Badger
Badger May 03, 2023 at 10:16:09 (UTC)
Goto Top
@Coreknabe:
Danke.
Bez. Testscript: Damit kann ich aber "nur" überprüfen ob ich befallen bin und nicht, ob das System nun wirklich sicher ist, oder? Zumindest deute ich das so.
Bez. Dem Kommentar von R.S.: Danke, diese Antwort bringt etwas mehr Licht ins Dunkel.

@NordicMike:
Besten Dank - so war es gemeint von mir. face-smile
Hab zwar eh Port 445 ausgehend gesperrt. Aber meine Frage bezog sich darauf, wieweit das - zur expliziten Ausnutzung dieser Lücke - tatsächlich noch erforderlich ist (von dem abgesehen, dass der Port ausgehend sowieso gesperrt sein sollte, wenn man ihm nicht benötigt).

Beste Grüße
Patrick
Coreknabe
Coreknabe May 03, 2023 updated at 13:41:41 (UTC)
Goto Top
Der Ablauf sollte wie folgt sein:
  • Testskript laufen lassen und auf Auffälligkeiten achten, keine Panik, da massenhaft Fehlalarme möglich. Zumindest mit der Version, die ich damals genutzt habe, gibt eine aktualisierte Version.
  • Keine Auffälligkeiten? Keine Probleme. Anmerkung für Profi-Paranoiker: Es sei denn, der Angreifer hat danach seine Spuren verwischt.
  • Auffälligkeiten: Updates installieren und Lücke schließen (Port 445), ALLE Passwörter im AD ändern.
  • In jedem Fall lässt sich die Lücke nach der Update-Installation nicht mehr ausnutzen. Schwacher Trost, da sie bereits seit Monaten genutzt werden konnte.

Gruß
DerWoWusste
DerWoWusste May 03, 2023 updated at 19:57:37 (UTC)
Goto Top
Nein, es ist weiterhin möglich im lokalen Intranet über diese Lücke an Credentials zu kommen. So beschreibt es Microsoft:
https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elev ...
The Outlook update addresses the vulnerability by only using the path to play a sound when from a local, intranet or trusted network source.
Es ist seitens Microsoft nicht beabsichtigt, es noch weiter abzusichern.

Will man mehr, dann sollte man versuchen, NTLM zu deaktivieren. Ob man NTLM überhaupt braucht, kann man testen: füge den Nutzer zur eingebauten Domänengruppe "protected users" hinzu. Laufen alle Authentifizierungen ohne Probleme, dann braucht der Nutzer kein NTLM.
Coreknabe
Coreknabe May 04, 2023 at 07:16:48 (UTC)
Goto Top
@dww
Danke für die Ergänzung!
Badger
Badger May 04, 2023 at 10:04:24 (UTC)
Goto Top
Zitat von @DerWoWusste:
Es ist seitens Microsoft nicht beabsichtigt, es noch weiter abzusichern.

Spannende Sache...

Aber danke für die Aufklärung!
Badger
Solution Badger May 12, 2023 at 04:55:46 (UTC)
Goto Top
Zitat von @DerWoWusste:
Es ist seitens Microsoft nicht beabsichtigt, es noch weiter abzusichern.

Scheinbar doch: Das Problem scheint nun endgültig gelöst!
DerWoWusste
DerWoWusste May 12, 2023 at 06:37:02 (UTC)
Goto Top
Sicher? Der netzinterne Angriff funktioniert weiterhin, denke ich, denn anders beschrieben als zuvor ist es nach dem Update nicht.
Was der neue Fix macht, ist nur gemacht worden, um den Bypass des alten Fixes nicht länger zu ermöglichen.
Badger
Badger May 12, 2023 at 06:41:51 (UTC)
Goto Top
Zitat von @DerWoWusste:

Der netzinterne Angriff funktioniert weiterhin, denke ich, denn anders beschrieben als zuvor ist es nach dem Update nicht.

Da hast du wohl recht, dass dies scheinbar weiterhin möglich ist.