Deze liveblog bevat informatie over de Microsoft Outlook zero-day kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 16 maart 2023.
Update 16 maart 2023
16:30 | We hebben onze blog over de Outlook zero-day-kwetsbaarheid bijgewerkt met de laatste informatie. Op 14 maart 2023 hebben beveiligingsonderzoekers technische details gedeeld met betrekking tot het misbruiken van de CVE-2023-23397 kwetsbaarheid.
Met de publicatie van de technische details voor de CVE-2023-23397 kwetsbaarheid neemt de kans op uitbuiting door kwaadwillenden toe. Daarom wordt het ten zeerste aanbevolen om de softwarepatches of workarounds toe te passen. Op basis van de blog lijkt uitbuiting vrij eenvoudig en zal waarschijnlijk snel door kwaadwillende entiteiten worden overgenomen.
De blog gepubliceerd door MDSEC met betrekking tot de technische details is hier te vinden: https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/
Update 15 maart 2023
14:00 | Tijdens de patch Tuesday van maart 2023 heeft Microsoft een patch uitgebracht voor 83 nieuwe kwetsbaarheden. De meest ernstige kwetsbaarheid is een privilege escalation kwetsbaarheid in Microsoft Outlook, die is geregistreerd als CVE-2023-23397. Deze kwetsbaarheid geeft een aanvaller de mogelijkheid om inloggegevens (hash) te stelen door een speciaal geprepareerde email te versturen.
De kwetsbaarheid wordt automatisch uitgebuit wanneer een email wordt opgehaald en verwerkt door de Microsoft Outlook cliënt. De kwetsbaarheid kan worden uitgebuit voordat de email wordt bekeken in de Preview Pane.
Wij adviseren om na te gaan of uw producten kwetsbaar zijn en de beschikbare software updates of workarounds zo snel mogelijk toe te passen. Volgens Microsoft zijn er aanwijzingen dat de kwetsbaarheid actief wordt misbruikt op kleine schaal. Wanneer exploit code publiekelijk beschikbaar komt, is het aannemelijk dat een groter aantal aanvallers de kwetsbaarheid gaat misbruiken.
Aanleiding en achtergrond van deze blog
Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.
Kwetsbaarheid informatie
Tijdens de patch Tuesday van maart 2023 heeft Microsoft een patch uitgebracht voor 83 nieuwe kwetsbaarheden. De meest ernstige kwetsbaarheid is een privilege escalation kwetsbaarheid in Microsoft Outlook, die is geregistreerd als CVE-2023-23397. Deze kwetsbaarheid geeft een aanvaller de mogelijkheid om inloggegevens (hash) te stelen door een speciaal geprepareerde email te versturen.
De kwetsbaarheid wordt automatisch uitgebuit wanneer een email wordt opgehaald en verwerkt door de Microsoft Outlook cliënt. De kwetsbaarheid kan worden uitgebuit voordat de email wordt bekeken in de Preview Pane.
Mogelijke risico’s
De kwetsbaarheid CVE-2023-23397 heeft een CVSSv3-score van 9,8. De CVSS-schaal loopt van 0 tot 10. Een score van 9,8 of hoger is zeldzaam en impliceert een hoog risico op uitbuiting met een grote impact. De kwetsbaarheid CVE-2023-23397 is een privilege escalation kwetsbaarheid in Microsoft Outlook, waardoor een niet-geautoriseerde aanvaller de inloggegevens (hash) van een gebruiker kan stelen door een speciaal geprepareerde email te versturen.
De kwetsbaarheid wordt automatisch uitgebuit wanneer een email wordt opgehaald en verwerkt door de Microsoft Outlook cliënt. De kwetsbaarheid kan worden uitgebuit voordat de email wordt bekeken in de Preview Pane.
Volgens Microsoft zijn er aanwijzingen dat de kwetsbaarheid actief wordt misbruikt op kleine schaal. Wanneer exploit code publiekelijk beschikbaar komt, is het aannemelijk dat een groter aantal aanvallers de kwetsbaarheid gaat misbruiken.
Detail informatie
De kwetsbaarheid bevindt zich in alle ondersteunde versies van Microsoft Outlook voor Windows. Andere versies van Microsoft outlook zoals Android, iOS, Mac, evenals Outlook op het web en andere Microsoft 365-services worden niet beïnvloed.
Microsoft heeft patches en een aantal workarounds gepubliceerd. Het advies is om een van de mitigerende maatregelen door te voeren. Wanneer het toepassen van de patch niet mogelijk is, wordt aangeraden een workaround toe te passen zoals hier beschreven: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
Het wordt aanbevolen om het door Microsoft gepubliceerde script uit te voeren dat Exchange berichtenitems (e-mail, agenda en taken) controleert op de aanwezigheid van items die zijn voorbereid om de kwetsbaarheid uit te buiten. Het script met zijn vereisten en een stapsgewijze beschrijving voor het uitvoeren ervan vindt u hier: https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.
Bronnen
Meer informatie:
- Microsoft update-guide: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
- Microsoft blog:https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/
- Script published by Microsoft: https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/
- NCSC: https://www.ncsc.nl/actueel/advisory?id=NCSC-2023-0128
- MDSEC: https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/
Aanmelden
Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates
Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.
