Dieser Passwort-Hack bedeutet, dass Ihr Arbeitgeber Microsoft Outlook noch heute patchen muss

Hacker suchen ständig nach neuen Wegen, um sichere Netzwerke zu infiltrieren. Dies ist eine schwierige Herausforderung, da alle verantwortungsbewussten Unternehmen in Sicherheit investieren. Eine Methode, die jedoch immer effektiv sein wird, ist die Verwendung neuer Schwachstellen in gängigen Softwareprodukten.

Kürzlich wurde in Outlook eine Schwachstelle entdeckt, die es Hackern ermöglicht, Passwörter zu stehlen, indem sie einfach dem Kontoinhaber eine E-Mail senden. Ein Patch wurde veröffentlicht, aber viele Unternehmen haben ihre Version von Outlook noch nicht aktualisiert.

Worum handelt es sich also bei dieser Schwachstelle und wie können sich Unternehmen dagegen wehren?

Was ist die Schwachstelle CVE-2023-23397?

Die Schwachstelle CVE-2023-23397 ist eine Schwachstelle bei der Rechteausweitung, die Microsoft Outlook betrifft, das unter Windows ausgeführt wird.

Es wird angenommen, dass diese Schwachstelle von April bis Dezember 2022 von nationalstaatlichen Akteuren gegen eine Vielzahl von Branchen ausgenutzt wurde. Ein Patch wurde im März 2023 veröffentlicht.

Während die Veröffentlichung eines Patches bedeutet, dass Unternehmen sich leicht dagegen wehren können, bedeutet die Tatsache, dass er jetzt stark bekannt gemacht wird, dass das Risiko für Unternehmen, die nicht patchen, gestiegen ist.

Nicht selten werden Schwachstellen, die zunächst von Nationalstaaten genutzt werden, von einzelnen Hackern und Hackergruppen flächendeckend genutzt, sobald ihre Verfügbarkeit bekannt ist.

Auf wen zielt die Sicherheitsanfälligkeit in Microsoft Outlook ab?

Die Schwachstelle CVE-2023-23397 wirkt sich nur auf Outlook aus, das unter Windows ausgeführt wird. Android-, Apple- und Webbenutzer sind nicht betroffen und müssen ihre Software nicht aktualisieren.

Es ist unwahrscheinlich, dass Privatpersonen ins Visier genommen werden, da dies nicht so rentabel ist wie die Ausrichtung auf ein Unternehmen. Nutzt eine Privatperson Outlook für Windows, sollte sie dennoch ihre Software aktualisieren.

Unternehmen sind wahrscheinlich das primäre Ziel, da viele Outlook für Windows verwenden, um ihre wichtigen Daten zu schützen. Die Leichtigkeit, mit der der Angriff durchgeführt werden kann, und die Anzahl der Unternehmen, die die Software verwenden, bedeuten, dass sich die Schwachstelle bei Hackern wahrscheinlich als beliebt erweisen wird.

Wie funktioniert die Schwachstelle?

Dieser Angriff verwendet eine E-Mail mit bestimmten Eigenschaften, die dazu führen, dass Microsoft Outlook den NTLM-Hash des Opfers preisgibt. NTLM steht für New Technology LAN Master und dieser Hash kann zur Authentifizierung beim Konto des Opfers verwendet werden.

Die E-Mail erhält den Hash mithilfe einer erweiterten MAPI (Microsoft Outlook Messaging Application Programming Interface)-Eigenschaft, die den Pfad einer Server Message Block-Freigabe enthält, die von der gesteuert wird Angreifer.

Wenn Outlook diese E-Mail erhält, versucht es, sich mit seinem NTLM-Hash bei der SMB-Freigabe zu authentifizieren. Der Hacker, der die Kontrolle über die SMB-Freigabe hat, kann dann auf den Hash zugreifen.

Warum ist die Outlook-Schwachstelle so effektiv?

CVE-2023-23397 ist aus mehreren Gründen eine effektive Schwachstelle:

• Outlook wird von einer Vielzahl von Unternehmen verwendet. Das macht es attraktiv für Hacker.
• Die Schwachstelle CVE-2023-23397 ist einfach zu verwenden und erfordert nicht viel technisches Wissen, um sie zu implementieren.
• Die Schwachstelle CVE-2023-23397 lässt sich nur schwer abwehren. Bei den meisten E-Mail-basierten Angriffen muss der Empfänger mit der E-Mail interagieren. Diese Schwachstelle ist ohne Interaktion wirksam. Aus diesem Grund Schulung der Mitarbeiter über Phishing-E-Mails oder ihnen zu sagen, keine E-Mail-Anhänge herunterzuladen (d. h. die traditionellen Methoden, um böswillige E-Mails zu vermeiden), hat keine Wirkung.
• Dieser Angriff verwendet keinerlei Malware. Aus diesem Grund wird es nicht von der Sicherheitssoftware erfasst.

Was passiert mit Opfern dieser Sicherheitsanfälligkeit?

Die Schwachstelle CVE-2023-23397 ermöglicht es einem Angreifer, sich Zugriff auf das Konto des Opfers zu verschaffen. Das Ergebnis hängt daher davon ab, wozu das Opfer Zugang hat. Der Angreifer kann Daten stehlen bzw Starten Sie einen Ransomware-Angriff.

Wenn das Opfer Zugriff auf private Daten hat, kann der Angreifer diese stehlen. Bei Kundeninformationen es kann im Dark Web verkauft werden. Das ist nicht nur problematisch für die Kunden, sondern auch für den Ruf des Unternehmens.

Der Angreifer kann möglicherweise auch private oder wichtige Informationen mit Ransomware verschlüsseln. Nach einem erfolgreichen Ransomware-Angriff sind alle Daten unzugänglich, es sei denn, das Unternehmen zahlt dem Angreifer eine Lösegeldzahlung (und selbst dann können die Cyberkriminellen entscheiden, die Daten nicht zu entschlüsseln).

So überprüfen Sie, ob Sie von der Schwachstelle CVE-2023-23397 betroffen sind

Wenn Sie der Meinung sind, dass Ihr Unternehmen möglicherweise bereits von dieser Schwachstelle betroffen ist, können Sie Ihr System mithilfe eines PowerShell-Skripts von Microsoft automatisch überprüfen. Dieses Skript durchsucht Ihre Dateien und sucht nach Parametern, die bei diesem Angriff verwendet werden. Nachdem Sie sie gefunden haben, können Sie sie von Ihrem System löschen. Auf das Skript kann zugegriffen werden über Microsoft.

So schützen Sie sich vor dieser Sicherheitsanfälligkeit

Der optimale Schutz vor dieser Sicherheitsanfälligkeit besteht darin, die gesamte Outlook-Software zu aktualisieren. Microsoft hat am 14. März 2023 einen Patch veröffentlicht, und sobald er installiert ist, sind alle Versuche dieses Angriffs wirkungslos.

Während das Patchen von Software für alle Unternehmen Priorität haben sollte, gibt es andere Möglichkeiten, um zu verhindern, dass dieser Angriff erfolgreich ist, wenn dies aus irgendeinem Grund nicht erreicht werden kann. Sie beinhalten:

• TCP 445 ausgehend blockieren. Dieser Angriff verwendet Port 445 und wenn über diesen Port keine Kommunikation möglich ist, wird der Angriff erfolglos bleiben. Wenn Sie Port 445 für andere Zwecke benötigen, sollten Sie den gesamten Datenverkehr über diesen Port überwachen und alles blockieren, was an eine externe IP-Adresse geht.
• Fügen Sie alle Benutzer der geschützten Benutzersicherheitsgruppe hinzu. Kein Benutzer in dieser Gruppe kann NTLM als Authentifizierungsmethode verwenden. Es ist wichtig zu beachten, dass dies auch alle Anwendungen beeinträchtigen kann, die auf NTLM angewiesen sind.
• Bitten Sie alle Benutzer, die Einstellung „Erinnerungen anzeigen“ in Outlook zu deaktivieren. Dies kann verhindern, dass der Angreifer auf NTLM-Anmeldeinformationen zugreift.
• Fordern Sie an, dass alle Benutzer den WebClient-Dienst deaktivieren. Es ist wichtig zu beachten, dass dies alle WebDev-Verbindungen einschließlich über das Intranet verhindert und daher nicht unbedingt eine geeignete Option ist.

Sie müssen gegen die Schwachstelle CVE-2023-23397 patchen

Die Schwachstelle CVE-2023-23397 ist aufgrund der Popularität von Outlook und der Menge an Zugriff, die es einem Angreifer bietet, von Bedeutung. Ein erfolgreicher Angriff ermöglicht es dem Cyberangreifer, Zugriff auf das Konto des Opfers zu erhalten, das zum Stehlen oder Verschlüsseln von Daten verwendet werden kann.

Die einzige Möglichkeit, sich angemessen vor diesem Angriff zu schützen, besteht darin, die Outlook-Software mit dem erforderlichen Patch zu aktualisieren, den Microsoft zur Verfügung gestellt hat. Jedes Unternehmen, das dies nicht tut, ist ein attraktives Ziel für Hacker.