Infizierte Emails richten Schaden schon vor dem Öffnen an

15. März 2023

Die Patchday-Updates vom März 2023 umfassen Korrekturen für 76 CVEs – neun wurden als kritisch, 66 als wichtig und einer als moderat eingestuft. Dabei wurden bei Tenable vier CVEs aus der Zählung ausgelassen, die von GitHub zugewiesen wurden in der Praxis bereits von Angreifern ausgenutzt werden – darunter eine Spoofing-Schwachstelle und eine Schwachstelle zur Umgehung von Sicherheitsfunktionen.

Bei der CVE-2023-23397 handelt es sich um eine „Spoofingelevation-of-Privilege“-Schwachstelle in Microsoft Outlook, die bereits ausgenutzt wurde. Während oft nach Schwachstellen in Outlook gesucht wurde, die durch die Vorschaufensterfunktion der Software ausgelöst werden können, könnte ein Angreifer diese Schwachstelle ausnutzen, indem er einfach eine E-Mail an ein potenzielles Ziel sendet. Dies liegt daran, dass die Schwachstelle auf der Seite des E-Mail-Servers ausgelöst wird, was bedeutet, dass eine Ausnutzung stattfinden würde, bevor ein Opfer die gefährliche E-Mail sieht.

Ein Angreifer könnte diese Schwachstelle ausnutzen, um den Net-NTLMv2-Hash eines Benutzers zu verlieren und einen NTLM-Relay-Angriff durchzuführen, um sich wieder als Benutzer zu authentifizieren. Insbesondere wird diese Schwachstelle dem Computer Emergency Response Team of Ukraine (CERT-UA) zugeschrieben, was darauf hindeuten könnte, dass sie gegen ukrainische Ziele ausgenutzt wurde. Die Entdeckung dieser Schwachstelle wurde auch Microsoft-Forschungsteams zugeschrieben.

Dagegen ist die CVE-2023-24880 eine Sicherheitsfunktion, die die in Windows integrierte Windows SmartScreen-Funktion umgeht, die mit ihrer Mark of the Web (MOTW)-Funktion arbeitet, um aus dem Internet heruntergeladene Dateien zu kennzeichnen. Es wurde sowohl in der Praxis ausgenutzt als auch öffentlich bekannt gegeben, bevor ein Patch verfügbar war.

Ein Angreifer könnte eine speziell gestaltete Datei erstellen, die diesen Fehler ausnutzt, was zur Umgehung von MOTW-Sicherheitsfunktionen wie Microsoft Office Protected View führt. Es wurde sowohl Forschern von Microsoft als auch der Threat Analysis Group von Google gutgeschrieben.

Satnam Narang ist Senior Staff Research Engineer bei Tenable.

Tenable

Lesen Sie auch