Microsoft Outlook Sicherheitslücke: Angreifer benötigen nur Kenntnis einer E-Mail-Adresse

18.04.2023 - Quelle: Ikarus Security

Details zur Ausnutzung der Schwachstelle und Proof of Concept frei verfügbar

CVE-2023-23397 ermöglicht, mit einer E-Mail, die eine erweiterte MAPI-Eigenschaft mit einem UNC-Pfad zu einer SMB-Freigabe (TCP 445) auf einem Server unter Kontrolle des Angreifers enthält, NTLM-Anmeldedaten zu stehlen. Sicherheitsforscher haben rekonstruiert, dass dabei der „PidLidReminderFileParameter“ verwendet wird, der den Erinnerungston, den Outlook bei Fälligkeit des Eintrags abspielt, definiert. Liegt dieser auf einem externen Server, kann der die Authentifizierung des Clients anfordern und so von Outlook den NTLM-Hash des Benutzers erhalten.

Für den Angriff ist keine Benutzerinteraktion erforderlich. Allein der Empfang einer manipulierten E-Mail reicht aus, um die Schadensroutine zu starten ­– sie muss weder geöffnet, noch in der Vorschau angezeigt werden. Die gestohlenen Net-NTLMv2 Hashes könnten für einen NTLM-Relay-Angriff gegen einen anderen Dienst verwendet werden, um sich als Benutzer zu authentifizieren.

Sicherheitsupdates und Workarounds für Microsoft Outlook Schwachstelle veröffentlicht

Um den Exploit abzusichern, muss ein Outlook-Sicherheitsupdate installiert werden – unabhängig davon, wo die E-Mails gehostet werden oder ob die NTLM-Authentifizierung unterstützt wird.

Hier gehts zu den Outlook-Sicherheitsupdates sowie zu den detaillierten Informationen der Workarounds: