6
Umgang mit Outlook-Schwachstelle CVE-2023-23397
Moin,
vor kurzem wurde die kritische Lücke CVE-2023-23397 in Outlook bekannt:
https://www.borncity.com/blog/2023/03/16/outlook-wegen-kritischer-schwac ...
Da sich im Text alle nötigen Hinweise zur Lücke ableiten lassen, gehe ich darauf hier nicht ein. Was also tun? Ganz klar, patchen. Workarounds finden sich ebenfalls im Link oben.
Problem: Die Lücke wurde erst jetzt erkannt, aber scheinbar schon seit April 2022 ausgenutzt! Zur Prüfung, ob man selbst betroffen ist, hat Microsoft dieses Skript bereitgestellt:
https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
Schön und gut, ich für meinen Teil musste da ein wenig länger dran sitzen, um das alles in Gang zu bringen. Da ich die Dokumentation so mittel hilfreich finde, fasse ich die Schritte einmal kurz zusammen.
So weit die offizielle Beschreibung, prima, was nun?
Es geht um den PidLidReminderFile-Parameter, höchstwahrscheinlich werden so einige eine gut gefüllte CSV-Datei erhalten. Ich für meinen Teil habe mich gefragt, was ich jetzt machen soll? Erste Reaktion, ich bereinige mit dem Skript das System:
Und nun? Bin ich jetzt sicher? Muss ich noch was machen? Da es sich um eine Vorbereitung handelt, damit der Angreifer sich ungehindert im Netz ausbreiten kann, dürfte das kaum ausreichen, der Angreifer könnte ja schon drin sein. Viel Spaß beim Neuaufsetzen des Gesamtsystems...
Des Rätsels Lösung: Wichtig ist es, dass der PidLidReminderFile-Parameter keinen Wert aufweist, also leer ist. In diesem Fall handelt es sich bei den Einträgen um falschen Alarm:
https://github.com/microsoft/CSS-Exchange/issues/1585
Selbst wenn ein Wert wie "reminder.wav" oder "Windows Message Nudge.wav" vorhanden ist, dürfte dies kein Grund zur Besorgnis sein. Lässt man das Skript im Cleanup-Modus laufen, wird der Wert entfernt (ClearProperty) oder die gesamte Nachricht entfernt (ClearItem).
Ich hoffe, das hilft dem einen oder anderen weiter...
Allen ein schönes Wochenende!
vor kurzem wurde die kritische Lücke CVE-2023-23397 in Outlook bekannt:
https://www.borncity.com/blog/2023/03/16/outlook-wegen-kritischer-schwac ...
Da sich im Text alle nötigen Hinweise zur Lücke ableiten lassen, gehe ich darauf hier nicht ein. Was also tun? Ganz klar, patchen. Workarounds finden sich ebenfalls im Link oben.
Problem: Die Lücke wurde erst jetzt erkannt, aber scheinbar schon seit April 2022 ausgenutzt! Zur Prüfung, ob man selbst betroffen ist, hat Microsoft dieses Skript bereitgestellt:
https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
Schön und gut, ich für meinen Teil musste da ein wenig länger dran sitzen, um das alles in Gang zu bringen. Da ich die Dokumentation so mittel hilfreich finde, fasse ich die Schritte einmal kurz zusammen.
- RoleGroup anlegen
New-RoleGroup -Name "CVE-2023-23397-Script" -Roles "ApplicationImpersonation" -Description "Permission to run the CVE-2023-23397 script" - Ggf. User für die Ausführung im EAC hinzufügen: Berechtigungen --> Administratorrollen
- Skript in Exchange Management Shell mit erhöhten Rechten ausführen
Get-Mailbox -ResultSize Unlimited | .\CVE-2023-23397.ps1 -Environment Onprem -EWSServerURL https://127.0.0.1/EWS/Exchange.asmx -IgnoreCertificateMismatch- Benutzerabfrage --> Den Benutzer mitsamt Passwort eingeben, der entweder dafür angelegt wurde (s.o.), oder die nötigen Rechte hat
- Es wird eine CSV erzeugt
So weit die offizielle Beschreibung, prima, was nun?
Es geht um den PidLidReminderFile-Parameter, höchstwahrscheinlich werden so einige eine gut gefüllte CSV-Datei erhalten. Ich für meinen Teil habe mich gefragt, was ich jetzt machen soll? Erste Reaktion, ich bereinige mit dem Skript das System:
.\CVE-2023-23397.ps1 -Environment Onprem -CleanupAction ClearProperty -CleanupInfoFilePath D:\AuditResults_20230316_145302.csvUnd nun? Bin ich jetzt sicher? Muss ich noch was machen? Da es sich um eine Vorbereitung handelt, damit der Angreifer sich ungehindert im Netz ausbreiten kann, dürfte das kaum ausreichen, der Angreifer könnte ja schon drin sein. Viel Spaß beim Neuaufsetzen des Gesamtsystems...
Des Rätsels Lösung: Wichtig ist es, dass der PidLidReminderFile-Parameter keinen Wert aufweist, also leer ist. In diesem Fall handelt es sich bei den Einträgen um falschen Alarm:
https://github.com/microsoft/CSS-Exchange/issues/1585
Selbst wenn ein Wert wie "reminder.wav" oder "Windows Message Nudge.wav" vorhanden ist, dürfte dies kein Grund zur Besorgnis sein. Lässt man das Skript im Cleanup-Modus laufen, wird der Wert entfernt (ClearProperty) oder die gesamte Nachricht entfernt (ClearItem).
Ich hoffe, das hilft dem einen oder anderen weiter...
Allen ein schönes Wochenende!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6402163488
Url: https://administrator.de/contentid/6402163488
Printed on: April 27, 2024 at 12:04 o'clock
6 Comments
Latest comment
Danke für die Links.
Etwas Offtopic aber... es werden ja die NTLM Hashes abgegriffen. Heißt das, das andersweitig in Outlook eingerichtete Konten wie IMAP, POP oder andere Drittanbieter da nicht betroffen sind oder ?
Trommel
Etwas Offtopic aber... es werden ja die NTLM Hashes abgegriffen. Heißt das, das andersweitig in Outlook eingerichtete Konten wie IMAP, POP oder andere Drittanbieter da nicht betroffen sind oder ?
Trommel
@Dani
Danke für die Zusatzinfo, kannte ich noch nicht. Franky geht allerdings nicht auf die False Positives ein, von daher konnte ich die Frage vielleicht etwas erhellen
@Trommel
Sieht so aus, als würde das auch für IMAP und Co gelten, wenn ich das richtig verstehe, zumindest solange Exchange im Spiel ist:
https://twitter.com/wdormann/status/1636497737528102912
Danke für die Zusatzinfo, kannte ich noch nicht. Franky geht allerdings nicht auf die False Positives ein, von daher konnte ich die Frage vielleicht etwas erhellen
@Trommel
Sieht so aus, als würde das auch für IMAP und Co gelten, wenn ich das richtig verstehe, zumindest solange Exchange im Spiel ist:
https://twitter.com/wdormann/status/1636497737528102912
Zitat von @Coreknabe:
@Trommel
Sieht so aus, als würde das auch für IMAP und Co gelten, wenn ich das richtig verstehe, zumindest solange Exchange im Spiel ist:
https://twitter.com/wdormann/status/1636497737528102912
@Trommel
Sieht so aus, als würde das auch für IMAP und Co gelten, wenn ich das richtig verstehe, zumindest solange Exchange im Spiel ist:
https://twitter.com/wdormann/status/1636497737528102912
Ja , wenn Du den Exchange per IMAP abrufst könnte ich mir das durchaus vorstellen.
Aber ein komplett autarkes 0815 Postfach bei Provider XY - habe dazu nichts gefunden - aber hier kommt doch sicher kein NTLM zum Einsatz.
Trommel
Moin Trommel,
hast du schon mal nachgelesen, was es mit NTLM auf sich hat? Einfach mal die Suchmaschine deiner Wahl in Anspruch nehmen. Es ist grob gesagt ein proprietäres Protokoll von Microsoft, welches verschiedene Sicherheitsprotokolle bündelt. Was für Produkte dein Webhoster einsetzt, kann natürlich nur er dir beantworten.
Zurück zum eigentlich Thema!
Gruß,
Dani
hast du schon mal nachgelesen, was es mit NTLM auf sich hat? Einfach mal die Suchmaschine deiner Wahl in Anspruch nehmen. Es ist grob gesagt ein proprietäres Protokoll von Microsoft, welches verschiedene Sicherheitsprotokolle bündelt. Was für Produkte dein Webhoster einsetzt, kann natürlich nur er dir beantworten.
Zurück zum eigentlich Thema!
Gruß,
Dani
Moin again,
Lesen und verstehen Im Twitter-Beitrag heißt es:
In my "brief" testing, Outlook connected to a normal IMAP server will NOT auto-enable the "Reminder" feature necessary to trigger CVE-2023-23397.
Gruß
Zitat von @Trommel:
Ja , wenn Du den Exchange per IMAP abrufst könnte ich mir das durchaus vorstellen.
Aber ein komplett autarkes 0815 Postfach bei Provider XY - habe dazu nichts gefunden - aber hier kommt doch kein NTLM zum Einsatz.
Trommel
Zitat von @Coreknabe:
@Trommel
Sieht so aus, als würde das auch für IMAP und Co gelten, wenn ich das richtig verstehe, zumindest solange Exchange im Spiel ist:
https://twitter.com/wdormann/status/1636497737528102912
@Trommel
Sieht so aus, als würde das auch für IMAP und Co gelten, wenn ich das richtig verstehe, zumindest solange Exchange im Spiel ist:
https://twitter.com/wdormann/status/1636497737528102912
Ja , wenn Du den Exchange per IMAP abrufst könnte ich mir das durchaus vorstellen.
Aber ein komplett autarkes 0815 Postfach bei Provider XY - habe dazu nichts gefunden - aber hier kommt doch kein NTLM zum Einsatz.
Trommel
Lesen und verstehen
Im Twitter-Beitrag heißt es:In my "brief" testing, Outlook connected to a normal IMAP server will NOT auto-enable the "Reminder" feature necessary to trigger CVE-2023-23397.
Gruß