coreknabe
Goto Top

Umgang mit Outlook-Schwachstelle CVE-2023-23397

Moin,

vor kurzem wurde die kritische Lücke CVE-2023-23397 in Outlook bekannt:
https://www.borncity.com/blog/2023/03/16/outlook-wegen-kritischer-schwac ...

Da sich im Text alle nötigen Hinweise zur Lücke ableiten lassen, gehe ich darauf hier nicht ein. Was also tun? Ganz klar, patchen. Workarounds finden sich ebenfalls im Link oben.

Problem: Die Lücke wurde erst jetzt erkannt, aber scheinbar schon seit April 2022 ausgenutzt! Zur Prüfung, ob man selbst betroffen ist, hat Microsoft dieses Skript bereitgestellt:
https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

Schön und gut, ich für meinen Teil musste da ein wenig länger dran sitzen, um das alles in Gang zu bringen. Da ich die Dokumentation so mittel hilfreich finde, fasse ich die Schritte einmal kurz zusammen.

  • RoleGroup anlegen
New-RoleGroup -Name "CVE-2023-23397-Script" -Roles "ApplicationImpersonation" -Description "Permission to run the CVE-2023-23397 script"  

  • Ggf. User für die Ausführung im EAC hinzufügen: Berechtigungen --> Administratorrollen

  • Skript in Exchange Management Shell mit erhöhten Rechten ausführen
Get-Mailbox -ResultSize Unlimited | .\CVE-2023-23397.ps1 -Environment Onprem -EWSServerURL https://127.0.0.1/EWS/Exchange.asmx -IgnoreCertificateMismatch

  • Benutzerabfrage --> Den Benutzer mitsamt Passwort eingeben, der entweder dafür angelegt wurde (s.o.), oder die nötigen Rechte hat

  • Es wird eine CSV erzeugt

So weit die offizielle Beschreibung, prima, was nun?
Es geht um den PidLidReminderFile-Parameter, höchstwahrscheinlich werden so einige eine gut gefüllte CSV-Datei erhalten. Ich für meinen Teil habe mich gefragt, was ich jetzt machen soll? Erste Reaktion, ich bereinige mit dem Skript das System:
.\CVE-2023-23397.ps1 -Environment Onprem -CleanupAction ClearProperty -CleanupInfoFilePath D:\AuditResults_20230316_145302.csv

Und nun? Bin ich jetzt sicher? Muss ich noch was machen? Da es sich um eine Vorbereitung handelt, damit der Angreifer sich ungehindert im Netz ausbreiten kann, dürfte das kaum ausreichen, der Angreifer könnte ja schon drin sein. Viel Spaß beim Neuaufsetzen des Gesamtsystems...

Des Rätsels Lösung: Wichtig ist es, dass der PidLidReminderFile-Parameter keinen Wert aufweist, also leer ist. In diesem Fall handelt es sich bei den Einträgen um falschen Alarm:
https://github.com/microsoft/CSS-Exchange/issues/1585

Selbst wenn ein Wert wie "reminder.wav" oder "Windows Message Nudge.wav" vorhanden ist, dürfte dies kein Grund zur Besorgnis sein. Lässt man das Skript im Cleanup-Modus laufen, wird der Wert entfernt (ClearProperty) oder die gesamte Nachricht entfernt (ClearItem).

Ich hoffe, das hilft dem einen oder anderen weiter...

Allen ein schönes Wochenende!

Content-Key: 6402163488

Url: https://administrator.de/contentid/6402163488

Printed on: June 13, 2024 at 17:06 o'clock

Member: Dani
Dani Mar 17, 2023 at 11:40:48 (UTC)
Goto Top
Moin,
warum leidest du so gerne? Outlook CVE-2023-23397: Was ist zu tun?


Gruß,
Dani
Member: Trommel
Trommel Mar 20, 2023 updated at 07:42:37 (UTC)
Goto Top
Danke für die Links.

Etwas Offtopic aber... es werden ja die NTLM Hashes abgegriffen. Heißt das, das andersweitig in Outlook eingerichtete Konten wie IMAP, POP oder andere Drittanbieter da nicht betroffen sind oder ?

Trommel
Member: Coreknabe
Coreknabe Mar 20, 2023 updated at 08:11:37 (UTC)
Goto Top
@Dani
Danke für die Zusatzinfo, kannte ich noch nicht. Franky geht allerdings nicht auf die False Positives ein, von daher konnte ich die Frage vielleicht etwas erhellen face-wink

@Trommel
Sieht so aus, als würde das auch für IMAP und Co gelten, wenn ich das richtig verstehe, zumindest solange Exchange im Spiel ist:
https://twitter.com/wdormann/status/1636497737528102912
Member: Trommel
Trommel Mar 20, 2023 updated at 09:07:48 (UTC)
Goto Top
Zitat von @Coreknabe:
@Trommel
Sieht so aus, als würde das auch für IMAP und Co gelten, wenn ich das richtig verstehe, zumindest solange Exchange im Spiel ist:
https://twitter.com/wdormann/status/1636497737528102912

Ja , wenn Du den Exchange per IMAP abrufst könnte ich mir das durchaus vorstellen.
Aber ein komplett autarkes 0815 Postfach bei Provider XY - habe dazu nichts gefunden - aber hier kommt doch sicher kein NTLM zum Einsatz.

Trommel
Member: Dani
Dani Mar 20, 2023 at 08:53:13 (UTC)
Goto Top
Moin Trommel,
hast du schon mal nachgelesen, was es mit NTLM auf sich hat? Einfach mal die Suchmaschine deiner Wahl in Anspruch nehmen. Es ist grob gesagt ein proprietäres Protokoll von Microsoft, welches verschiedene Sicherheitsprotokolle bündelt. Was für Produkte dein Webhoster einsetzt, kann natürlich nur er dir beantworten.

Zurück zum eigentlich Thema!


Gruß,
Dani
Member: Coreknabe
Coreknabe Mar 20, 2023 at 08:58:39 (UTC)
Goto Top
Moin again,


Zitat von @Trommel:

Zitat von @Coreknabe:
@Trommel
Sieht so aus, als würde das auch für IMAP und Co gelten, wenn ich das richtig verstehe, zumindest solange Exchange im Spiel ist:
https://twitter.com/wdormann/status/1636497737528102912

Ja , wenn Du den Exchange per IMAP abrufst könnte ich mir das durchaus vorstellen.
Aber ein komplett autarkes 0815 Postfach bei Provider XY - habe dazu nichts gefunden - aber hier kommt doch kein NTLM zum Einsatz.

Trommel

Lesen und verstehen face-wink Im Twitter-Beitrag heißt es:
In my "brief" testing, Outlook connected to a normal IMAP server will NOT auto-enable the "Reminder" feature necessary to trigger CVE-2023-23397.

Gruß