6376382705
6376382705
12.07.2023, aktualisiert am 14.07.2023
view6130
view28
6
Goto Top

Ungepatchte MS ZeroDay Lücke (CVE-2023-36884) manuell patchen

InformationMicrosoftViren, TrojanerPowerShell
Hi.



Diese Lücke wird aktuell aktiv ausgenutzt. Ihr solltet handeln!

Wer kein Defender über M365, veraltete oder alternative MS-Officeversionen nutzt, kann/sollte folgendes Skript auf seinen Clients verteilen und damit die Lücke temporär stopfen (GPO).

$registryPath = "HKLM:\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION"  
$applications = @("Excel.exe", "Graph.exe", "MSAccess.exe", "MSPub.exe", "PowerPnt.exe", "Visio.exe", "WinProj.exe", "WinWord.exe", "Wordpad.exe")  

if (!(Test-Path -Path $registryPath)) {
    New-Item -Path $registryPath -Force | Out-Null
}

foreach ($app in $applications) {
    Set-ItemProperty -Path $registryPath -Name $app -Value 1 -Type DWord
}

Vielleicht hilft es wem.

Gruß

Zu Nebenrisiken und Wirkungen Packungen Sie die Lesungsbeilage und arzten Sie ihren Frag oder Athepoker.

(bislang keine/nicht nennenswerte Nebenwirkungen bekannt)
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 7826446572

Url: https://administrator.de/contentid/7826446572

Ausgedruckt am: 21.11.2024 um 16:11 Uhr

28 Kommentare
Neuester Kommentar
Goto Top
dertowa
dertowa 12.07.2023 um 14:58:21 Uhr
Goto Top
Salut,
also ich greife mal einen Absatz hier auf:
Customers who use Microsoft Defender for Office 365 are protected from attachments that attempt to exploit CVE-2023-36884. In addition, customers who use Microsoft 365 Apps (Versions 2302 and later) are protected from exploitation of the vulnerability via Office.

Nutzt man den Defender, ist man grundlegend sicher.
Nutzt man Office am aktuellen Stand, ist man ebenfalls geschützt.

Also eigentlich gar kein Registrykey von nöten?

Grüße
ToWa
6376382705
6376382705 12.07.2023, aktualisiert am 13.07.2023 um 15:18:24 Uhr
Goto Top
Hi @dertowa,

Jep. Ich habs dennoch mal reingepackt für die, die eben keinen Defender für M365 oder veraltete/alternative MS-Officeversionen nutzen.

Vielleicht hilft es wem.
vielleicht auch nicht face-smile

Gruß
ArnoNymous
ArnoNymous 12.07.2023 aktualisiert um 16:08:12 Uhr
Goto Top
Zitat von @dertowa:

Nutzt man Office am aktuellen Stand, ist man ebenfalls geschützt.



Nutzt du Microsoft 365 Apps auf dem neusten Stand, bist du sicher.
Es gibt aber noch andere Office Versionen, die noch supportet sind. Für diese gibt es aktuell noch kein Patch.
Da ist die Bemerkung mit "veraltete Office Versionen" irreführend, und so nicht korrekt.
Halle20
Halle20 12.07.2023 um 17:15:19 Uhr
Goto Top
Hallo in die Runde,

da wir weder 365 noch Defender einsetzen, habe ich den Regkey bei mir mal gesetzt und auch neugestartet. Wie erkenne ich denn, dass der greift? Per VBA den Editor aufmachen funktioniert weiterhin...

Danke schonmal für eure Antworten
commodity
commodity 12.07.2023 um 17:52:47 Uhr
Goto Top
Danke!

Viele Grüße, commodity
heart1
6376382705
6376382705 13.07.2023 aktualisiert um 07:27:05 Uhr
Goto Top

Nutzt man den Defender, ist man grundlegend sicher.
Nutzt man Office am aktuellen Stand, ist man ebenfalls geschützt.

Also eigentlich gar kein Registrykey von nöten?

Grüße
ToWa

So wie ich das interpretiere: nein, ist man per se erstmal nicht. Auch hier muss der Admin erstmal tätig werden: Man muss eine Regel aktivieren.

learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes

Danke!
Sehr gerne face-smile

Grüße
phatair
phatair 13.07.2023 um 09:16:47 Uhr
Goto Top
Sehe ich auch so, wir verwenden z.B. noch Office 2016 Standard und müssen tätig werden.
Die Frage ist nur, was für Auswirkungen hat der RegKey. Hat schon jemand Probleme festgestellt?
6376382705
6376382705 13.07.2023 um 09:24:53 Uhr
Goto Top
Die Frage ist nur, was für Auswirkungen hat der RegKey. Hat schon jemand Probleme festgestellt?
Bislang nichts. Bin aber auch gespannt auf die Nachwehen ...

Gruß
ukulele-7
ukulele-7 13.07.2023 um 09:43:12 Uhr
Goto Top
Die Frage ist doch eher gibt es von MS einen Patch oder muss sich wieder jederman selber ein Paddel für sein Boot schnitzen.
heart2
phatair
phatair 13.07.2023 um 10:34:05 Uhr
Goto Top
Wir rollen die RegKeys jetzt erstmal auf eine Test Gruppe aus und lassen die User mal testen. Wenn bis heute Abend keine gravierenden Probleme auftreten, dann rollen wir es für alle aus.
6376382705
6376382705 13.07.2023 um 11:42:26 Uhr
Goto Top
Die Frage ist doch eher gibt es von MS einen Patch oder muss sich wieder jederman selber ein Paddel für sein Boot schnitzen.

Wird es geben (laut Blogeintrag), nur eben .. wann .. und ich pers. mag nicht warten bis sich Microsoft bequemt.

Wir rollen die RegKeys jetzt erstmal auf eine Test Gruppe aus
Korrekte Vorgehensweise. face-smile

Gruß
Stardave
Stardave 13.07.2023 um 14:09:00 Uhr
Goto Top
Müsste es nicht bei PowerPoint powerpnt.exe anstatt powerpoint.exe heißen?
heart2
Benne100
Benne100 13.07.2023 um 14:53:40 Uhr
Goto Top
Hallo,

der (Standard-) Defender ist nicht der Defender für Office 365!!
Der kostet zusätzlich zwischen ca. 1,87 € Plan1 oder 4,70 € Plan 2 pro User pro Monat! Ich kannte den nicht und bin drüber gestolpert, alles Defender nennen ist nur eine semigute Idee.
Microsoft Defender for Office 365

Gruß

Benne100
heart2
ArnoNymous
ArnoNymous 13.07.2023 um 15:07:04 Uhr
Goto Top
Zitat von @Stardave:

Müsste es nicht bei PowerPoint powerpnt.exe anstatt powerpoint.exe heißen?

Das ist korrekt.
heart1
6376382705
6376382705 13.07.2023 aktualisiert um 15:17:31 Uhr
Goto Top
Zitat von @Stardave:

Müsste es nicht bei PowerPoint powerpnt.exe anstatt powerpoint.exe heißen?

Aufmerksamer Dude. Dachte ich anfangs auch aber ich möchte mich nicht über MS hinwegsetzen da selbst die es so angegeben haben.

Originallink zum Bild:
www.microsoft.com/en-us/security/blog/wp-content/uploads/2023/07/Fig5-settings-prevent-exploitation.webp

ms_pwrpnt

Sollte das tatsächlich ein Tippfehler sein (wovon ich ausgehe), passe ich das Script oben an. Bin selbst etwas skeptisch...
Im Zweifel Script ergänzen und beide Einträge hinzufügen. Schadet ja nicht.
Danke + Gruß
¯\_(ツ)_/¯

Edit: Script ergänzt.
heart1
Stardave
Stardave 13.07.2023 um 15:27:40 Uhr
Goto Top
Sehr schön... dafür steht im Security Update Guide (gerade dort unterwegs) unter CVE 2023 36884 powerpnt.exe
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
6376382705
6376382705 13.07.2023 um 15:32:34 Uhr
Goto Top
Zitat von @Stardave:

Sehr schön... dafür steht im Security Update Guide (gerade dort unterwegs) unter CVE 2023 36884 powerpnt.exe
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884

1A Microsoft. :facepalm:

Danke Dir.
heart2
phatair
phatair 13.07.2023 um 16:12:37 Uhr
Goto Top
Ja, dass ist wirklich peinlich von MS und das BSI hat auch noch powerpoint.exe in die offizielle Meldung übernommen :/

Unsere Tests sind bisher ohne Probleme verlaufen. Wir werden die RegKeys morgen an alle verteilen.

Auch sind auf unserer Firewall noch keine bekannten IPs aufgetaucht. Zumindest hat BlackBerry hier ein paar Infos zusammengefasst -> https://blogs.blackberry.com/en/2023/07/romcom-targets-ukraine-nato-memb ...
6376382705
6376382705 13.07.2023 aktualisiert um 16:55:34 Uhr
Goto Top
dass ist wirklich peinlich von MS
Ach, was erwarten wir eigentlich ... face-smile

BSI hat auch noch powerpoint.exe in die offizielle Meldung übernommen :/
Sauber, guter Fund! Direkt ne Mail hingeschubst. Mir fehlen die Worte.. eigentlich sollten doch exakt diese Instanzen Ihr geschriebenes gegenprüfen oder zumindest validieren.

Oh man..

Unsere Tests sind bisher ohne Probleme verlaufen.
same hereface-smile

zusammengefasst
Danke Dir! face-smile

Danke Euch!

Gruß
crypt0r
crypt0r 14.07.2023 um 07:26:26 Uhr
Goto Top
Moin bei uns gibts keine Main in der Registry, habt ihr die auch erstellt?
cve
7426148943
7426148943 14.07.2023 aktualisiert um 07:33:19 Uhr
Goto Top
Zitat von @crypt0r:

Moin bei uns gibts keine Main in der Registry, habt ihr die auch erstellt?

Natürlich muss man den Pfad anlegen , das ist der "Policies" Ordner da ist nichts automatisch vorhanden, außer die Policies(GPOs) die man definiert hat.
crypt0r
crypt0r 14.07.2023 um 07:32:06 Uhr
Goto Top
liegt an Windows 11 weil es da keinen IE mehr gibt? In den affected Systems stehen aber ja auch Systeme über Windows 10 etc
6376382705
6376382705 14.07.2023 aktualisiert um 07:38:25 Uhr
Goto Top
Hi.

Moin bei uns gibts keine Main in der Registry, habt ihr die auch erstellt?
Gibt es nativ aktuell nicht und ja, das Script oben erstellt den Pfad samt Unterordner.

Steht doch hier eigentlich eindeutig?!

if (!(Test-Path -Path $registryPath)) {
    New-Item -Path ....

liegt an Windows 11 weil es da keinen IE mehr gibt?
Nein.

Gruß
ArnoNymous
ArnoNymous 14.07.2023 um 13:26:31 Uhr
Goto Top
Bisher bei keinen meiner Kunden Auffälligkeiten bzgl. der Office-Funktionalitäten.
heart1
6376382705
6376382705 14.07.2023 um 13:31:17 Uhr
Goto Top
Nachdem ich dem BSI via Telefon gefragt hatte, ob das nicht u.A. deren Job sei, nicht alles blind zu kopieren und es zu validieren, stimmte mir der Mensch am Telefon zu, wollte aber nichts weiter dazu sagen.

Auf jeden Fall ist Version 1.1 nun released mit den richtigen AppNamen.
www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-248752-1012.pdf?__blob=publicationFile&v=7
Gruß
heart3
Jan-Arendt
Jan-Arendt 16.07.2023 um 07:10:11 Uhr
Goto Top
Hallo, ich wundere mich über den angegebenen Registry-Pfad. Ich könnte zwar

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION

stumpf neu anlegen, auf meinem privaten Window 10-Computer finde ich aber statt dessen

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION

Kennt jemand den Unterschied? Kann es daran liegen, dass mein Computer nicht Teil einer Domäne ist?

Viele Grüße

Jan
7426148943
7426148943 16.07.2023 aktualisiert um 08:04:29 Uhr
Goto Top
Kennt jemand den Unterschied? Kann es daran liegen, dass mein Computer nicht Teil einer Domäne ist?
Einstellungen im Policies Ordner überschreiben bereits lokal gesetzte Einstellungen immer.
Setzen kannst du die Einstellungen bei einem einzelnen Rechner in beiden, aber der Policies Ordner wird am Ende immer gewinnen da höhere Priorität.
Beschäftige dich mal mit GPOs dann verstehst du es.
https://gpsearch.azurewebsites.net/
heart1
Saftnase
Saftnase 17.07.2023 um 11:10:59 Uhr
Goto Top
Was ist eigentlich mit Outlook, gehörte bisher zur Office Suite face-smile
InformationMicrosoftViren, TrojanerPowerShell
Heiß diskutiert
user217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareManuManu2021Verpasster Anruf von +49-030-123456 mit einer Mobilfunk Prepaid SIMManuManu2021 - 11 Kommentare