Categories: Workspace

Sicherheitsforscher warnen vor Angriff auf Outlook-Zero-Day-Lücke

Sicherheitsforscher gehen davon aus, dass die von Microsoft im Rahmen des März-Patchdays geschlossene Zero-Day-Lücke in Outlook schon bald in größerem Umfang von Cyberkriminellen genutzt wird, um Hackerangriffe auszuführen. „Aufgrund der Einfachheit, mit der diese Schwachstelle ausgenutzt werden kann, glauben wir, dass es nur eine Frage der Zeit ist, bis sie in die Playbooks anderer Bedrohungsakteure, einschließlich Ransomware-Gruppen, aufgenommen wird“, warnt Satnam Narang, Senior Staff Research Engineer bei Tenable.

Mandiant ordnet die seit April 2022 beobachteten Attacken mit der Outlook-Lücke (CVE-2023-23397) inzwischen einer APT28 genannten Gruppe zu, die als Akteur im Umfeld des russischen Geheimdiensts GRU beschrieben wird. Die Angriffe richteten sich seitdem gegen Regierungsbehörden, Logistikunternehmen, Öl- und Gasbetreiber, Rüstungsunternehmen und die Transportbranche in Polen, der Ukraine, Rumänien und der Türkei.

Patch-Wettlauf mit Cyberkriminellen beginnt

„Mandiant geht davon aus, dass die Sicherheitslücke CVE-2023-23397 schnell und in großem Umfang von zahlreichen nationalstaatlichen und finanziell motivierten Akteuren missbraucht wird – darunter kriminelle wie auch auf Cyberspionage spezialisierte Akteure. Auf kurze Sicht werden sich diese Akteure einen Wettlauf mit den Patch-Bemühungen liefern, um in ungepatchten Systemen Fuß zu fassen“, kommentiert Mandiant.

Mandiant und auch Hornetsecurity weisen darauf hin, dass bereits erste Proof-of-Concepts für CVE-2023-23397 veröffentlicht wurden. Es sei „davon auszugehen, dass die Angriffe auf die Sicherheitslücke zunehmen werden“, sagte Umut Alemdar, Head of Security Lab bei Hornetsecurity. „Wir empfehlen daher allen Nutzern von Microsoft Outlook, die von Microsoft bereitgestellten Sicherheits-Patches so schnell wie möglich zu intallieren.“

Kandidat für Top-Schwachstelle des Jahres 2023

Tenable geht sogar davon aus, dass die Outlook-Lücke „eine der Top-Schwachstellen des Jahres 2023 wird“. „Wie wir in unserem aktuellen Threat Landscape Report 2022 hervorgehoben haben, stellen bekannte Schwachstellen heute das größte Risiko für Unternehmen dar. Jetzt, da CVE-2023-23397 von einem Zero-Day zu einer bekannten Schwachstelle geworden ist, empfehlen wir allen Organisationen, die Microsoft verwenden – vor allem Outlook – das Patchen dieses Fehlers eher früher als später zu priorisieren“, so Tenable weiter.

Die Zero-Day-Lücke in Outlook lässt sich laut Microsoft ohne jegliche Interaktion mit einem Anwender ausnutzen. Eine speziell gestaltete E-Mail bringt Outlook bereits beim Laden der Nachricht von einem Server – noch bevor sie in der Vorschau angezeigt wird – dazu, eine vom Angreifer kontrollierte SMB-Freigabe über den Port TCP 445 zu kontaktieren. Dadurch wird der Net-NTLMv2-Hash des Nutzers gegenüber dem Angreifer offengelegt, der nun den Hash im Rahmen eines Pass-the-Hash-Angriffs zur Authentifizierung in der Umgebung des Opfers nutzen kann.

Microsoft nennt auch Workaround

Microsoft rät Anwendern, die die verfügbaren Patches noch nicht installieren können, ausgehenden Traffic zu SMB über den Port TCP 445 über eine Firewall oder die VPN-Einstellungen zu blockieren. Alternativ können Nutzer zur Protected Users Security Group hinzugefügt werden, wodurch wiederum NTLM als Authentifizierungsmethode unterbunden wird. Allerdings werden so auch alle Vorgänge abgebrochen, die NTLM zur Authentifizierung benötigen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

QR-Code-Phishing 3.0: Verseuchte Codes mit ASCII-Zeichen

Per HTML und ASCII nachgebaute QR-Codes umgehen die Sicherheitsmaßnahmen optischer Texterkennung.

24 Minuten ago

Malware-Ranking: Androxgh0st-Botnet breitet sich in Deutschland aus

Die seit April aktive Malware schafft es im Mai bereits auf Platz 2. Lockbit erholt…

7 Stunden ago

Monatlicher Patchday: Microsoft stopft im Juni 49 Sicherheitslöcher

Eine kritische Schwachstelle steckt in allen unterstützten Versionen von Windows und Windows Server. Sie erlaubt…

22 Stunden ago

Datengetriebene Geschäftsmodelle noch immer Mangelware

Ungeachtet dessen erwartet die Hälfte der deutschen Unternehmen eine Trendwende in den kommenden zwei Jahren.

1 Tag ago

Analyse: Jeder fünfte Cyberangriff dauert länger als 30 Tage

Gleichzeitig glauben 40 Prozent der deutschen IT-Entscheider, dass ihre Teams Cybergefahren nicht richtig einschätzen können.

1 Tag ago

Firefox 127 integriert Autostart-Funktion für Windows

Das Update stopft auch 15 Sicherheitslücken. Mozilla vereinfacht auch die Tab-Verwaltung in Firefox.

1 Tag ago