Microsoft hat eine Schwachstelle in seinem E-Mail-Dienst Outlook gepatcht, die es Bedrohungsakteuren ermöglichte, einen zuvor veröffentlichten Patch für eine Schwachstelle zur Privilegienerweiterung zu umgehen. Ein Patch für einen Patch, sozusagen. Der Cybersecurity-Forscher Ben Barnea von Akamai entdeckt vor Kurzem eine Null-Klick-Umgehung, die nun unter der Bezeichnung CVE-2023-29324 geführt wird. Die Schwachstelle ist in allen Versionen von Outlook vorhanden, so dass jeder anfällig ist.
"Alle Windows-Versionen sind von der Sicherheitslücke betroffen. Folglich können alle Outlook-Client-Versionen unter Windows ausgenutzt werden", sagt Barnea.
Microsoft Outlook: Jeder ist in Gefahr
Da die Umgehung es Bedrohungsakteuren ermöglicht, eine bekannte Schwachstelle zur Privilegienerweiterung auszunutzen, sollten IT-Teams den Patch so schnell wie möglich anwenden.
Die Anfang des Jahres gepatchte Schwachstelle für die Privilegien-Erweiterung wird als CVE-2023-23397 geführt. Bedrohungsakteure, die diese Schwachstelle ausnutzen, können NTLM-Relay-Angriffe durchführen und NTLM-Hashes abgreifen, ohne dass die Eingabe des Opfers erforderlich ist. Dies ist möglich, indem sie eine böswillige Nachricht mit erweiterten MAPI-Eigenschaften senden, die UNC-Pfade zu benutzerdefinierten Benachrichtigungstönen enthalten, erklärten die Forscher damals. Dadurch verbindet sich Outlook mit SMB-Freigaben, die von den Angreifern kontrolliert werden.
Um das Problem zu beheben, hat Microsoft einen MapUrlToZone-Aufruf eingebaut, der verhindert, dass UNC-Pfade mit Internet-URLs verknüpft werden. Barnea stellt jedoch fest, dass die URL in den Erinnerungsnachrichten verändert werden kann, so dass die MapUrlToZone-Prüfungen ausgetrickst werden und die Funktion entfernte Pfade und lokale Pfade akzeptiert. Infolgedessen stellt Outlook eine Verbindung zu einem Server her, der von den Angreifern kontrolliert wird:
"Dieses Problem scheint auf die komplexe Handhabung von Pfaden in Windows zurückzuführen zu sein", sagt Barnea.
Microsoft warnt, dass der neueste Fix nicht allein funktioniert und dass die Nutzer diesen für beide Schwachstellen anwenden müssen, um geschützt zu sein. Das Unternehmen erklärt außerdem, dass bekannte russische Angreifer diese Schwachstellen in Kampagnen gegen staatliche und militärische Ziele ausnutzen. Wenn du dich optimal schützen willst, findest du in unserem Kaufberater für die besten VPNs das beste Mittel für Cybersicherheit.
Quelle: BleepingComputer