Microsoft patcht zeroday in Outlook die te misbruiken is zonder actie gebruiker

De Windows-versie van Outlook bevatte een kritiek lek dat te misbruiken was door een mail te sturen, die niet door de gebruiker geopend hoefde te worden. De zeroday werd in de praktijk misbruikt om te authenticeren bij andere systemen. Microsoft heeft een patch uitgebracht.

CVE-2023-23397 heeft een CVSS-score van 9,8 en is een elevation-of-priviligekwetsbaarheid. Om de kwetsbaarheid te misbruiken, moesten aanvallers een e-mail sturen met bepaalde mapi-eigenschappen en een unc-pad naar een door de aanvaller beheerde server. Door de kwetsbaarheid konden kwaadwillenden de ntlm-authenticatie van Outlook misbruiken om zich op andere diensten te authenticeren als de gebruiker.

Microsoft zegt dat de kwetsbaarheid niet op Microsoft 365-diensten werkt, of op de Android-, iOS- of Mac-versies. Het gaat wel om een ernstige kwetsbaarheid, omdat mails die de kwetsbaarheid misbruiken direct door Outlook worden verwerkt, ook als de gebruiker de e-mail nog niet heeft gezien.

Het bedrijf heeft bepaalde klanten ingelicht met een threatanalyticsrapport, dat door Bleeping Computer is ingezien. Volgens dit rapport zou de Russische inlichtingendienst GRU het lek tussen april en december 2022 hebben misbruikt om overheids-, energie- en transportorganisaties en militaire organisaties in minder dan vijftien landen aan te vallen. De hackersgroep, bekend als onder meer APT28 of Fancy Bear, zou met de kwetsbaarheid netwerken hebben geïnfiltreerd en mogelijk e-mails hebben gestolen.

Microsoft raadt gebruikers aan Outlook direct te updaten om de kwetsbaarheid te dichten. Mocht dit niet lukken, dan raadt het bedrijf aan gebruikers toe te voegen in de Protected Users-groep en uitgaande smb-requests naar tcp-poort 445 te blokkeren. Met een PowerShell-script kunnen gebruikers controleren of ze door de kwetsbaarheid zijn aangevallen. Microsoft ontdekte het lek met CERT-UA, het Computer Emergency Response-team van Oekraïne.

Reacties (62)

Mitsuko 15 maart 2023 18:09

Om Outlook uit Office 365 bij te werken:

Ga naar Bestand / File
Ga naar Office-account / Office Account (linksonder)
Klik op knop Bijwerkopties / Update Options naast Office-updates / Office Updates
Klik op Nu bijwerken / Update Now

CrimInalA @Mitsuko • 15 maart 2023 19:33

misschien een inkoppertje : deze stappen uitvoeren inderdaad , maar dan vanuit word of excel starten en niet outlook uiteraard

Mitsuko @CrimInalA • 15 maart 2023 20:08

Ik had Outlook al open staan toen ik dit bericht las

Dutch_CroniC @CrimInalA • 16 maart 2023 08:46

Misschien een stomme vraag, maar waarom niet? Zodra er een update beschikbaar is moeten de Office apps toch afgesloten worden?

ShatterNL @Dutch_CroniC • 16 maart 2023 09:30

Omdat je beter vanuit Excel / Word de Office applicaties kan updaten, want anders open je Outlook waar het lek in zit en uitgevoerd kan worden

Blasterxp @Mitsuko • 16 maart 2023 09:12

"C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeC2RClient.exe" /update user

dit werkt ook goed!

asing @Mitsuko • 15 maart 2023 19:33

En nu heb ik 100-en gebruikers die allemaal hun systeem moeten patchen....

Ga ik je vertellen dat er voor de huidige intune machines geen mogelijkheid is om dit snel uit te rollen.

DJ-B @asing • 15 maart 2023 20:02

https://admx.help/?Catego...indows::L_DeferUpdateDays

Settler11 @DJ-B • 15 maart 2023 22:33

Eh, da's toch juist het omgekeerde wat @asing wil? Juist niet vertragen maar juist direct uitrollen? Misschien mis wat..

DJ-B @Settler11 • 16 maart 2023 07:50

Sorry, dit is de juiste, vanuitgaande dat je click to run gebruikt:

https://admx.help/?Catego...Windows::L_UpdateDeadline

[Reactie gewijzigd door DJ-B op 24 juli 2024 11:36]

asing @DJ-B • 15 maart 2023 22:38

Ha nee. Ik zoek een expedite zoals met Windows kan maar dat is er domweg niet.

DJ-B @asing • 16 maart 2023 07:51

Sorry, dit is de juiste, vanuitgaande dat je click to run gebruikt:

https://admx.help/?Catego...Windows::L_UpdateDeadline

[Reactie gewijzigd door DJ-B op 24 juli 2024 11:36]

asing @DJ-B • 16 maart 2023 08:25

Helaas. Dit is Office2016, een inmiddels 8 jaar oud product. Office update zichzelf nu in de achtergrond.

DJ-B @asing • 16 maart 2023 08:56

Helaas. Dit is Office2016, een inmiddels 8 jaar oud product. Office update zichzelf nu in de achtergrond.

Deze policy is van toepassing op Office 2016, 2019 en Office 365 ProPlus/Apps geinstalleerd via ClickToRun.

[Reactie gewijzigd door DJ-B op 24 juli 2024 11:36]

peter1908 @asing • 16 maart 2023 11:18

Heb je met GPOs ook niet.

Gewoon de deadline instellen op hooguit enkele dagen met Intune of een GPO en binnen enkele dagen worden de machines die online zijn gepatcht. Ten minste zo zou het moeten zijn

[Reactie gewijzigd door peter1908 op 24 juli 2024 11:36]

asing @peter1908 • 16 maart 2023 11:31

Zelfs een expedite op 2 dagen deed er in werkelijkheid 1.5 - 2 weken over om over op te staan.

Dus in dit geval kan ik verdomd weinig behalve toekijken.

goarilla @asing • 16 maart 2023 14:40

Misschien kan je de update forceren via een aanpassing van de login scripts. Ik weet het lelijke oplossing, die desastreuze gevolgen kan hebben maar soms kan je niet anders. Zeker niet op het NT4 domein dat ik vroeger mee beheerde.

asing @goarilla • 16 maart 2023 14:50

We gebruiken AutoPatch. Daar is niets aan te forceren. Wel heeft Microsoft zelf vanmorgen een expedite gedaan op de patch.

Voorheen had je allerlei mogelijkheden maar nu met intune/M365 is het een stuk lastiger geworden. Alles gaat lekker prima tot het moment dat je zoiets krijgt.

dieguyvanit @asing • 16 maart 2023 14:00

Tuurlijk wel gewoon een ps script erin knallen.

Grootste issue hier was dat gebruikers dan de office applicaties worden gegooid.

Dus wel ff goed overleggen.

ndonkersloot 15 maart 2023 19:10

Als je outbound 445 poorten blokkeert, is die mitigatie voor nu dan al voldoende zonder de patch?

CrimInalA @ndonkersloot • 15 maart 2023 20:44

zover ik begrepen heb is dat voldoende ja .

best natuurlijk wel zo snel mogelijk ook patchen . want als je vpn of iets gebruikt dan blokkeren uw firewall rules die poort opeens niet meer aangezien alles dan door die vpn tunnel gaat .

Luc45 @ndonkersloot • 15 maart 2023 21:17

Nee, dat is helaas niet voldoende. Het is een workaround die de impact kan beperken (en ook iets wat hopelijk iedere firewall beheerder blokkeert). Maar een NTLM authenticatie kan ook over WebDAV geforceerd worden, wat op zo'n beetje alle poorten kan draaien, maar meestal over 80/443 gebruikt wordt.
Bron: https://twitter.com/domchell/status/1635819249628217344

[Reactie gewijzigd door Luc45 op 24 juli 2024 11:36]

ndonkersloot @Luc45 • 15 maart 2023 21:59

Bedankt! Dat is zeer goed om te weten. Lekker dat Microsoft dat dan als mitigatie geeft

Darses

@ndonkersloot • 15 maart 2023 22:57

Het WebDAV trucje is in de praktijk afhankelijk van 1) een ingeschakelde WebDAV client service - wat standaard niet het geval is - en 2) dat de verbinding opgezet wordt naar een 'vertrouwde site'.

Beide voorwaarden maken het lastig(er) om dit in de praktijk uit te voeren, maar niet onmogelijk. Het blijft dus belangrijk de updates toe te passen en niet de 445/tcp blokkade als volledige oplossing te zien.

Overigens mist er in het Microsoft wel meer aanvullende maatregelen om de impact te beperken. Voor een completer overzicht zou je naar deze adviezen van Microsoft kunnen kijken: https://learn.microsoft.c.../smb-interception-defense.

EDIT: In de gelinkte tweets van @Luc45 schrijft Dominic Chell dat de 'trusted zone' instellingen niet gebruikt worden. Een ingeschakelde WebDAV client is dus de enige voorwaarde.

[Reactie gewijzigd door Darses op 24 juli 2024 11:36]

themadone 15 maart 2023 18:09

Ik mag toch op recht hopen dat de any any firewall beheerders niet meer meedoen zo onderhand?

Voor mensen thuis een ander verhaal en meteen updaten, want volgens mij blokken niet alle providers uitgaand 445 in hun modem/routers.

Soldaatje @themadone • 15 maart 2023 18:34

De meeste consumenten-routers hebben inderdaad helemaal geen optie om poorten van binnen naar buiten te blokkeren, of dit is een verborgen instelling van de ISP. Om deze of een andere poort te testen: http://portquiz.net:445/ Squid proxy bijvoorbeeld blokkeert dit standaard wel.

Verwijderd @themadone • 15 maart 2023 18:40

Voor mensen thuis een ander verhaal en meteen updaten, want volgens mij blokken niet alle providers uitgaand 445 in hun modem/routers.

Wat mij betreft is dit iets wat zelfs gewoon op netwerk niveau zou moeten worden geblokkeerd bij ISP's. Het is leuk maar als ik diverse fora van ISP's zo eens lees wilt zelfs een simpele boerenlul een mesh-netwerk met van die Google, TP-Link of andere meuk met alle gevolgen van dien. Wat vaak wel is gebleken is dat eenmaal mensen aan de gang gaan met eigen apparatuur, de stap naar even kijken wat 'poorten openen' doet zo gezet is.

Of te wel, 138-139, 445 gewoon blokkeren op ISP niveau en voila!

latka @Verwijderd • 15 maart 2023 18:52

Ik mag hopen dat dat dan een instelling is per abbo. Anders kun je net zo goed alle poorten behalve 443 dichtgooien. Liefst eigenlijk ook 443 dicht want er wordt ook wel eens malware via een website geserveerd. In het kader van draconische maatregelen lijkt mij het afsluiten van Outlook gebruikers een betere optie. Die cliënt stuurt nog steeds tnef attachments uit, de reply functie gooit nog steeds het originele bericht onderaan en nog meer zaken die de productiviteit schaden.

Polderviking

@themadone • 16 maart 2023 11:16

Ik mag toch op recht hopen dat de any any firewall beheerders niet meer meedoen zo onderhand?

Any any op outbound zijn gewoon defaults, ook in best wel serieuze security paketten.
Zeker generalisten zullen niet persé scherp zijn op alle best practices rond firewalls en egress verkeer.
Zal dus sterk tegenvallen bij bedrijven waar geen mensen zitten wiens gehele takenpakket enkel bestaat uit netwerkbeheer.

[Reactie gewijzigd door Polderviking op 24 juli 2024 11:36]

Sluuut 15 maart 2023 18:30

En als je geen NTLM maar enkel Kerberos authenticatie gebruikt?

latka @Sluuut • 15 maart 2023 18:55

Maakt standaard niet zoveel uit lijkt het (tenzij je ntlm dus helemaal uitzet voor je users): het request wordt gedaan door outlook in de context van de gebruiker naar een smb server van de attacker waar ntlm juist wel aanstaat. Standaard zal windows, onder het mom van compatibel, daar in meegaan, ook al heb je thuis alleen kerberos in gebruik.

Sluuut @latka • 15 maart 2023 19:36

Ik bedoelde, als je op alle exchange onprem virtual directories ntlm niet aan hebt staan en kerberos wel, en vanuit policies enkel kerberos toestaat vanuit outlook naar exchange qua authenticatie protocol.

Scriptkid @Sluuut • 15 maart 2023 20:35

pc gaat naar SMB toe,

SMB zegt nego,

Client zegt Kerb NTLM,

SMB zegt NTLM,

Client offerd NTL creds,

Aanvaller zegt dankjewel

segil @Scriptkid • 16 maart 2023 16:18

als het goed is, is dit al dichtgezet via een gpo in een bedrijfsnetwerk. En met een beetje geluk wordt van buitenaf of 2FA afgedwongen.

Scriptkid @segil • 16 maart 2023 21:36

maar je client wordt niet gevragen naar een interne server te gaan , men zal proberen een externe server want dat is makkelijker ,

segil @Scriptkid • 17 maart 2023 08:19

die client mag geen ntlm richting een server doen, als het goed is geconfigureerd via een gpo.

Scriptkid @segil • 17 maart 2023 13:50

wat mag die dan wel doen,

Kerberos only is een utopia

Theone098 15 maart 2023 18:00

Het blokken van poort 445 outbound is al een recommended action, zie ook https://www.sans.org/medi...sts/FirewallChecklist.pdf.

SpoekGTi @Theone098 • 15 maart 2023 18:13

Wie zet er in hemelsnaam smb open voor de buitenwereld……

Blokker_1999

Hackers
Microsoft Outlook
Hack
Microsoft
Beveiliging en antivirus
Rusland

@SpoekGTi • 15 maart 2023 18:19

Omgekeerd, de poort staat vaak open naar het internet toe. Dus een aanvaller kan een server opzeten op het internet en jouw PC dus een poging laten doen om te connecteren naar hun SMB share op het internet. Niet dat je je eigen shares beschikbaar maakt op het internet dus.

Het probleem hierbij is dat je een NTLM credential gaat meesturen, en die kan misbruikt worden.

Insomnia1988 @Blokker_1999 • 15 maart 2023 18:54

Eh als ik jou goed begrijp, werkt smb gewoon naar buiten toe? Dus dat betekend dat als ik poort 445 open zet naar een smb server dat ik deze zomaar kan benaderen?

Tozz @Insomnia1988 • 15 maart 2023 22:03

Ja, in principe werkt SMB gewoon over het Internet heen.
In praktijk blokkeren zowel Ziggo als KPN uitgaand SMB verkeer.

Maar als je ergens een zakelijke aansluiting of bv. bij XS4ALL de firewall expliciet uit zet, dan kan je gewoon Windows File Sharen over het Internet.

glaaj @Insomnia1988 • 15 maart 2023 19:21

Als jij niet naar buiten toe kan dan geraak je nooit bij je doel, dat is wat het dichtzetten van OUTbound verkeer doet. Dan maakt het geen klap uit of je "doel" open staat voor verkeer of niet

Insomnia1988 @glaaj • 15 maart 2023 19:45

Dat weet ik, ik ben verbaasd dat smb kennelijk werkt als je poort 445 open zet naar de server toe. als ik het goed begrijp.

OruBLMsFrl @Insomnia1988 • 15 maart 2023 21:30

smb kan gewoon werken via internet ja, en waar steeds meer providers standaard poort 25 blokkeren in een strijd tegen email misbruik, is filteren van poort 445 / SMB mij ook nog lang niet zo bekend van internet providers. Bedrijven wel, die zullen dit typisch al vele jaren dicht hebben staan zowel inbound als outbound.

RammY @Insomnia1988 • 16 maart 2023 00:50

Hoe denk je dat Azure File shares werken?

Juist ... 445 TCP.
Leuk als je dat wil gebruiken als Ziggo-klant.
Aint gonna work!

Argantonis @Insomnia1988 • 16 maart 2023 04:03

Je hoeft niks 'open te zetten' outbound, als gewone consument gezien kan je outbound gewoon alles benaderen. Inbound is wat firewalls meestal afdekken. Outbound is an sich dus ook totaal geen probleem, behalve als je PC al gecompromitteerd is. Het is een extra laag beveiliging als je dat dicht zet, om daar de risico's nog van te beperken.

PFY 15 maart 2023 20:47

Mooi technisch stukje hoe de vulnerability exact werkt inclusief PoC

https://www.mdsec.co.uk/2...-privilege-vulnerability/

Admin-edit:Exploit code verwijderd

[Reactie gewijzigd door Bor op 24 juli 2024 11:36]

CrimInalA 15 maart 2023 19:05

Uit het artikel op tweakers :

"Met een PowerShell-script kunnen gebruikers controleren of ze door de kwetsbaarheid zijn aangevallen"

Ik heb die powershell-script link gevolgd , maar op die link is nergens een script te vinden waarmee ik dat zou kunnen checken ?

koelpasta @CrimInalA • 15 maart 2023 19:14

Hier een juiste link (die ik heb gevonden op de site die tweakers linkt):
https://microsoft.github..../Security/CVE-2023-23397/

thomasv @koelpasta • 15 maart 2023 19:32

Ook al is het script hier beschikbaar inderdaad, dit lijkt niet iets te zijn wat jan en alleman zomaar kan draaien en vooral bedoeld voor systeembeheerders.

CrimInalA @thomasv • 15 maart 2023 19:44

Ja inderdaad daar kom ik nu ook achter .
Wou het even op een paar pc's checken met lokale office/office365 maar dat blijkt dus niet mogelijk te zijn .

Zou Microsoft dit script op hun servers runnen en individuele users die getarget zijn geweest op de hoogte brengen ?

[Reactie gewijzigd door CrimInalA op 24 juli 2024 11:36]

Hertog_JB @CrimInalA • 15 maart 2023 19:16

Beste CrimInalA,

Als ik het goed heb is het deze:

https://microsoft.github..../Security/CVE-2023-23397/

Dat is de link waar ik uitkom als ik de site volg voor CVE-2023-23397.
Staat onder het kopje
“Awareness: Outlook client update for CVE-2023-23397 released”

TheDeeGee 15 maart 2023 19:46

Ben nog steeds op zoek naar een vervangende e-mail client voor Windows Live Mail 2012. Live Mail werkt gewoon zo prettig (voor mij) en alles is makkelijk te overzien.

Heb Thunderbird geprobeerd maar die kan het niet waar maken qua layout. Het berichten venster in verticale layout is een ramp om in één oogopslag te lezen, dit zit in Live Mail beter in elkaar (zie onder).

Als er een e-mail client is met een layout als hieronder stap ik graag over.

https://i.imgur.com/xlZ6o9X.png

IrBaboon79 @TheDeeGee • 15 maart 2023 20:05

Mogelijk de standaard mail app van win10/11? die hebben een dergelijke layout met hier en daar wat wijzigingen.

Outlook zelf kan je ook op dezelfde manier optuigen ('Reading pane/Leesvenster' op 'Bottom/Onder' zetten); andere clients kunnen dat vast ook, hieronder zullen vast nog wel de nodige suggesties volgen.

TheDeeGee @IrBaboon79 • 20 maart 2023 13:01

Ik dat Thunderbird ergens dit jaar een nieuwe UI krijgt, misschien dan nog eens proberen

Verwijderd @TheDeeGee • 15 maart 2023 22:43

Outlook

Spykie @TheDeeGee • 20 maart 2023 10:43

Roundcube webmail

kuurtjes 16 maart 2023 07:53

Onder elk artikel schrijf ik hetzelfde:

Weeral heeft Microsoft gewacht met een noodzakelijke security patch tot "patch tuesday". Hierdoor kon de exploit dus mogelijks tot 31 dagen langer misbruikt worden.

(Altijd wordt hierop gereageerd dat dit goed is voor bedrijven en diens IT, maar heb je niet liever dat er een kans is dat het werk 1 dag stil ligt tegenover een maandenlange recovery als deze exploit misbruikt wordt door een ransomware groep?)

batjes

Microsoft

@kuurtjes • 16 maart 2023 11:04

Kans is aanwezig dat Microsoft de patch ook pas net enkele dagen klaar heeft. Voor een lek dat al bijna een jaar misbruikt wordt en workarounds voor beschikbaar zijn, en ook nog eens in de gemiddelde omgeving met fatsoenlijke firewalls niet zo heel snel een probleem vormt. Dan heeft het nog maar weinig zin om voor die paar dagen je normale update-cyclus te onderbreken en hordes IT-ers met extra werk op te zadelen of erachter komen dat bijna elke organisatie toch de patch tuesday af gaat wachten.

Het is altijd een afweging en MS zal daarmee nooit iedereen tevreden kunnen houden. Onder aan de streep is een gestructureerd proces zoals patch tuesday gewoon beter dan willy nilly patches aanbieden.

jmvdkolk @kuurtjes • 16 maart 2023 20:06

Volgens mij gaan Office updates niet mee in het patch schema. Ik krijg in ieder geval nooit Office updates op patch tuesday, terwijl office wel geüpdatet wordt.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (62)

Sorteer op:

Weergave: