Sicherheitsforscher warnen vor Angriff auf Outlook-Zero-Day-Lücke

Sicherheitsforscher gehen davon aus, dass die von Microsoft im Rahmen des März-Patchdays geschlossene Zero-Day-Lücke in Outlook schon bald in größerem Umfang von Cyberkriminellen genutzt wird, um Hackerangriffe auszuführen. „Aufgrund der Einfachheit, mit der diese Schwachstelle ausgenutzt werden kann, glauben wir, dass es nur eine Frage der Zeit ist, bis sie in die Playbooks anderer Bedrohungsakteure, einschließlich Ransomware-Gruppen, aufgenommen wird“, warnt Satnam Narang, Senior Staff Research Engineer bei Tenable.

Mandiant ordnet die seit April 2022 beobachteten Attacken mit der Outlook-Lücke (CVE-2023-23397) inzwischen einer APT28 genannten Gruppe zu, die als Akteur im Umfeld des russischen Geheimdiensts GRU beschrieben wird. Die Angriffe richteten sich seitdem gegen Regierungsbehörden, Logistikunternehmen, Öl- und Gasbetreiber, Rüstungsunternehmen und die Transportbranche in Polen, der Ukraine, Rumänien und der Türkei.

Patch-Wettlauf mit Cyberkriminellen beginnt

„Mandiant geht davon aus, dass die Sicherheitslücke CVE-2023-23397 schnell und in großem Umfang von zahlreichen nationalstaatlichen und finanziell motivierten Akteuren missbraucht wird – darunter kriminelle wie auch auf Cyberspionage spezialisierte Akteure. Auf kurze Sicht werden sich diese Akteure einen Wettlauf mit den Patch-Bemühungen liefern, um in ungepatchten Systemen Fuß zu fassen“, kommentiert Mandiant.

Mandiant und auch Hornetsecurity weisen darauf hin, dass bereits erste Proof-of-Concepts für CVE-2023-23397 veröffentlicht wurden. Es sei „davon auszugehen, dass die Angriffe auf die Sicherheitslücke zunehmen werden“, sagte Umut Alemdar, Head of Security Lab bei Hornetsecurity. „Wir empfehlen daher allen Nutzern von Microsoft Outlook, die von Microsoft bereitgestellten Sicherheits-Patches so schnell wie möglich zu intallieren.“

Kandidat für Top-Schwachstelle des Jahres 2023

Tenable geht sogar davon aus, dass die Outlook-Lücke „eine der Top-Schwachstellen des Jahres 2023 wird“. „Wie wir in unserem aktuellen Threat Landscape Report 2022 hervorgehoben haben, stellen bekannte Schwachstellen heute das größte Risiko für Unternehmen dar. Jetzt, da CVE-2023-23397 von einem Zero-Day zu einer bekannten Schwachstelle geworden ist, empfehlen wir allen Organisationen, die Microsoft verwenden – vor allem Outlook – das Patchen dieses Fehlers eher früher als später zu priorisieren“, so Tenable weiter.

Die Zero-Day-Lücke in Outlook lässt sich laut Microsoft ohne jegliche Interaktion mit einem Anwender ausnutzen. Eine speziell gestaltete E-Mail bringt Outlook bereits beim Laden der Nachricht von einem Server – noch bevor sie in der Vorschau angezeigt wird – dazu, eine vom Angreifer kontrollierte SMB-Freigabe über den Port TCP 445 zu kontaktieren. Dadurch wird der Net-NTLMv2-Hash des Nutzers gegenüber dem Angreifer offengelegt, der nun den Hash im Rahmen eines Pass-the-Hash-Angriffs zur Authentifizierung in der Umgebung des Opfers nutzen kann.

Microsoft nennt auch Workaround

Microsoft rät Anwendern, die die verfügbaren Patches noch nicht installieren können, ausgehenden Traffic zu SMB über den Port TCP 445 über eine Firewall oder die VPN-Einstellungen zu blockieren. Alternativ können Nutzer zur Protected Users Security Group hinzugefügt werden, wodurch wiederum NTLM als Authentifizierungsmethode unterbunden wird. Allerdings werden so auch alle Vorgänge abgebrochen, die NTLM zur Authentifizierung benötigen.