Update erforderlich: Microsoft schließt zwei Zero-Day-Exploits mit März Patchday
von Tina Siering
Zum monatlichen Patchday stellt Microsoft wieder zahlreiche Software-Updates zum Schließen bekannter Sicherheitslücken bereit. Für März 2023 erfordern von den insgesamt 80 im Security Update Guide aufgeführten Patches zwei Fixes zum Schließen aktiver ausgenutzter Zero-Day-Exploits besondere Aufmerksamkeit und schnelles Handeln: Die betroffenen Office- und Windows-Versionen sollten schnellstmöglich aktualisiert werden.
1. Kritische Sicherheitslücke in Microsoft Outlook (CVSS 9.8, Risiko "kritisch")
Durch das Ausnutzen einer kritischen Sicherheitslücke in Microsoft Outlook (CVE-2023-23397), können Angreifer mit Hilfe manipulierter E-Mails ihre Benutzerrechte aktiv ausweiten. Eine derart mit Malware infizierte E-Mail ermöglicht dem Angreifer Zugriff auf das System zu erlangen und den Net NTLMv2 Hash zu entwenden. Die Attacke selbst wird bereits während der Verarbeitung auf dem E-Mailserver ausgeführt, noch bevor die E-Mail im Vorschaufenster des Opfers angezeigt wird. Es ist keine weitere Aktion durch einen Empfänger nötig.
Der erfolgreiche Zugriff auf den Hash kann als Grundlage für einen “NTLM-Relay-Angriff” gegen einen anderen Dienst verwendet werden, um sich dabei als Benutzer zu authentifizieren. NTLM (NT LAN Manager) ist eine Sammlung von Sicherheitsprotokollen von Microsoft zur Sicherstellung von Integrität und Authentifizierung.
Die Schwachstelle wurde in der Vergangenheit auch von einer mit dem russischen Militärgeheimdienst GRU verbundenen Hacking-Gruppe ausgenutzt, um europäische Organisationen anzugreifen. Betroffen sind alle Versionen von Microsoft Outlook für Windows.
Handlungsempfehlung für den Fall, dass ein zeitnahes Patchen (noch) nicht möglich ist: Stellen Sie sicher, dass der Port 445/SMB zum Internet blockiert ist.
2. Schwachstelle in Windows SmartScreen (CVSS 5.4,Risiko “mittel”)
Über die Schwachstelle CVE-2023-24880 können Cyberkriminelle den Windows SmartScreen-Filter umgehen und die Malware Magniber verbreiten.
SmartScreen ist eine Sicherheitsfunktion, die in Windows 8 eingeführt und in Windows 10 verbessert wurde. Sie schützt an verschiedenen Stellen vor potenziell gefährlichen Websites, Downloads und Apps und fungiert als Filter, der heruntergeladene Dateien mit Microsoft-Datenbanken vergleicht. Öffnet ein Nutzer mit einer betroffenen Windows-Version eine manipulierte, bösartige Datei, wird die Mark of the Web (MoTW)-Funktionalität umgangen.
Das System erkennt also nicht, ob Dateien beispielsweise als Anhang geschickt oder aus dem Internet heruntergeladen wurden. Der SmartScreen-Filter kann daher möglicherweise infizierte Dateien oder Dokumente nicht mehr erkennen und so ein erfolgreiches Einschleusen von Malware verhindern.
Betroffen sind alle Windows-Versionen, bis hin zu Windows 11 22H2 und Windows Server 2022
Empfehlung:
Da die mit den Patchday-Updates geschlossenen Schwachstellen zum Teil bereits aktiv angegriffen werden, sollten IT-Verantwortliche diese umgehend einspielen.