In Microsoft Outlook wurde eine kritische Schwachstelle gefunden, die es einem Angreifer ermöglicht, den NTLM-Hash des Benutzers auszuspähen. Besonders kritisch ist, dass hierfür keine Interaktion des Benutzers erforderlich ist. Der Hash kann anschließend für einen NTLM-Relay-Angriff ausgenutzt werden. Der Angriff erfolgt durch eine Termineinladung mit Erinnerung, wobei der „Erinnerungs-Ton“ auf eine Datei aus dem Internet verweist.
Betroffene Produkte/Systeme:
- Alle unterstützten Versionen von Microsoft Outlook für Windows sind betroffen. Andere Versionen von Microsoft Outlook für Android, iOS oder Mac sowie Outlook im Web und andere M365-Dienste sind nicht betroffen.
Wir empfehlen als erste Maßnahme, den SMB-Port (445) ausgehend in der Firewall zu sperren, um den Zugriff auf die „Ton-Datei“ im Internet zu unterbinden. Da diese Maßnahme mobil arbeitende Benutzer im Homeoffice nicht schützt, ist es ratsam, alle Benutzer der ActiveDirectory-Sicherheitsgruppe „Protected Users“ hinzuzufügen, wodurch die NTLM-Authentifizierungsmethode deaktiviert wird. Hierbei kann es allerdings zu Störungen mit Anwendungen kommen, die auf diese Methode angewiesen sind.
Anschließend muss auf allen Clients das Sicherheitsupdate für Outlook installiert werden, das unter https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397 abrufbar ist.
Abschließend sollte noch einmal per Script geprüft werden, ob die Schwachstelle bereits erfolgreich ausgenutzt wurde: https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
Bei positiven Funden empfiehlt es sich, die Kennwörter der betroffenen Benutzer zurückzusetzen.