Brandgefährliche Zero-Klick-Schwachstelle in Outlook!!!

Blog

Sofortiger Patch dringend empfohlen!

Microsoft schließt mit CVE-2023-23397 eine besonders gefährliche Schwachstelle in Outlook, über die Angreifer ungehindert fremde Systeme infizieren können. Sie wird bereits seit einem Jahr gezielt von russischen Hackergruppen genutzt und bietet ein enormes Bedrohungspotenzial.

Die Lücke CVE-2023-23397 kommt auf einen CVSS-Risikowert von 9,8. Dabei handelt es sich um eine Schwachstelle in Outlook für Windows, über die Angreifer vergleichsweise einfach Verifizierungs-Hashes für das Windows-Authentifizierungsverfahren New Technology LAN Manager (Net-NTLMv2) auslesen und sich damit anschließend selbst als das Opfer ausgeben können. Dadurch erlangen sie Zugriff auf weitere Systeme und können Schadcode injizieren. Der Angriff wird beim Empfang der E-Mail automatisch ausgelöst, eine Aktion des Opfers wie das Öffnen der Vorschau, der E-Mail oder das Klicken auf einen Link ist nicht notwendig (Zero-Klick).

Alle Versionen von Microsoft Outlook für Windows sind betroffen. Andere Versionen wie Outlook für Android, iOS, Mac sowie Outlook im Web und andere M365-Dienste sind nicht betroffen.

Mehrere Security-Anbieter legten bereits kurz nach dem Bekanntwerden Proof-of-Concepts für die Machbarkeit entsprechender Angriffe vor. Damit sind in den nächsten Tagen und Wochen unmittelbar auch Angriffe auf Unternehmen und andere Einrichtungen zu erwarten. Um das zu vermeiden, sollte der aktuelle Patch möglichst sofort installiert werden.

Quelle: connect-channel.de

­­

Unsere Empfehlungen:

- Überprüfen Sie, ob es bereits Angriffe über die Schwachstelle auf die eigene Infrastruktur gegeben hat.
   Dazu stellt Microsoft ein eigenes Skript bereit.

und

- Öffnen Sie Outlook und stossen Sie Office Updates an
   Datei -> Office-Konto -> Office-Updates -> Jetzt aktualisieren

oder

- Laden Sie das Security Update für Ihre Outlook-Verision herunter und verteilen es auf Ihre Clients.

oder

- Blockieren Sie TCP 445/SMB ausgehend von Ihrem Netzwerk, indem Sie eine Perimeter-Firewall, eine lokale Firewall und über Ihre VPN-Einstellungen verwenden. Dadurch wird das Senden von NTLM-Authentifizierungsnachrichten an Remotedateifreigaben verhindert.

Back

GEMAKOM® GmbH
Görlitzer Weg 1
68775 Ketsch

Telefon: +49 6202 9260-0
E-Mail: info(at)gemakom.de

Kompetenzen:

Rundumbetreuung für Ihre IT und Telekommunikation im Raum Heidelberg, Mannheim, Speyer, Sinsheim, Karlsruhe

Gemeinsam sind wir stärker:

© 2024  by GEMAKOM GmbH, Design by nito web development