CVE-2023-23397 er en sårbarhed i Microsoft Outlook, som blev udgivet som en del af marts måneds patches. Denne sårbarhed kan føre til en kritisk elevation af privilegier samt en authentication bypass, og den påvirker alle versioner af Windows Outlook. Sårbarheden er blevet givet en CVSS-score på 9,8 og er en af de to zero-day exploits, som blev offentliggjort den 14. marts. Vi vil her give et kort resumé af, hvad sikkerhedsteams skal vide om denne sårbarhed, samt hvordan man kan minimere risiciene ved at udbedre denne fejl.
Hvad er CVE-2023-23397?
CVE-2023-23397 er en elevation of privilege (EoP) sårbarhed i Microsoft Outlook. Det er en zero-touch exploit, hvilket betyder, at denne sårbarhed kræver en lav kompleksitet for at kunne udnyttes og kræver ikke nogen brugerinteraktion.
Hvordan udnyttes CVE-2023-23397?
Angriberen sender en besked til offeret med en udvidet Message Application Program Interface (MAPI) egenskab med en Universal Naming Convention (UNC) sti til en fjernstyret Server Message Block (SMB) via TCP 445. Hvis serveren ejes af angriberen, vil sårbarheden blive udnyttet, uanset om modtageren har set beskeden eller ej. Angriberen sender en ondsindet kalenderinvitation i form af .msg-formatet, som understøtter påmindelser i Outlook, for at udløse den sårbare API-endepunkt PlayReminderSound ved hjælp af “PidLidReminderFileParameter” (tilpasset påmindelseslydvalgmulighed).
Når offeret tilslutter sig angriberens SMB-server, sender forbindelsen til den fjernstyrede server brugerens New Technology LAN Manager (NTLM) forhandling besked automatisk, som angriberen kan bruge til at godkende mod andre systemer, der understøtter NTLM-godkendelse.
NTLMv2 hashes er den nyeste protokol, som Windows bruger til godkendelse, og det bruges til en række tjenester, hvor hver respons indeholder en hash-repræsentation af brugerens oplysninger, såsom brugernavn og adgangskode. Trusselaktører kan forsøge at udføre en NTLM relay attack for at få adgang til andre tjenester eller en fuldstændig kompromittering af domæner, hvis de kompromitterede brugere er administratorer. Mens online-tjenester som Microsoft 365 ikke er modtagelige for denne type angreb, fordi de ikke understøtter NTLM-godkendelse, er Microsoft 365 Windows Outlook-appen stadig sårbar.
Hvor let er det at udnytte CVE-2023-23397?
Brugerinteraktion er ikke nødvendig for at udløse denne sårbarhed, og det kræver heller ikke høje privilegier. CVE-2023-23397 er en zero-touch sårbarhed, der udløses, når offerklienten aktiveres.
Hvordan kan jeg tjekke om jeg er påvirket?
Microsoft har leveret en PowerShell-script som en løsning på problemet. Scriptet er designet til at scanne e-mails, kalenderindtastninger og opgaveelementer, og til at verificere om de har ejendommen “PidLidReminderFileParameter”. Ved at køre scriptet kan administratorer lokalisere problematiske elementer med denne ejendom og efterfølgende fjerne dem eller slette dem permanent. Download scriptet her: https://github.com/microsoft/CSS-Exchange/blob/a4c096e8b6e6eddeba2f42910f165681ed64adf7/docs/Security/CVE-2023-23397.md.