[English]Mit den Sicherheitsupdates vom 11. Juni 2024 hat Microsoft auch eine kritische Schwachstelle in Microsoft Outlook geschlossen. Die Schwachstelle CVE-2024-30103 ermöglicht eine Remote-Code-Ausführung beim Öffnen einer E-Mail. Patchen ist dringend angeraten.
Sicherheitsupdate für Outlook
Ich hatte im Blog-Beitrag Microsoft Office Updates (11. Juni 2024) auf die Sicherheitsupdates zum Juni 2024-Patchday hingewiesen. Für Outlook 2016, MSI-Version, steht das Sicherheitsupdate KB5002600 bereit, um die RCE-Schwachstelle CVE-2024-30103 (CVE-Score 8.8, important) zu schließen. Der Angreifer kann alleine beim Anzeigen schädlicher Inhalte in der Outlook-Vorschau die Schwachstelle ausnutzen, um Remote Code auf dem System auszuführen.
Der Angreifer muss allerdings mit gültigen Exchange-Benutzeranmeldeinformationen authentifiziert sein. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte die Blockierlisten der Outlook-Registrierung umgehen und die Erstellung von bösartigen DLL-Dateien ermöglichen, heißt es bei Microsoft. Microsoft stuft diese Schwachstelle aber in der Ausnutzung als „eher unwahrscheinlich ein“.
Mehr Details bei Morphisec
Die Sicherheitsforscher von Morphisec haben die Schwachstelle entdeckt und zum 11. Juni 2024 mehr Details zu CVE-2024-3010 im Blog-Beitrag You’ve Got Mail: Critical Microsoft Outlook Vulnerability Executes as Email is Opened offen gelegt. Die Sicherheitslücke CVE-2024-30103 betrifft die meisten Microsoft Outlook-Clients und ermöglicht die Remote-Ausführung von Code, d.h. Angreifer könnten beliebigen Code auf den betroffenen Systemen ausführen. Das kann zu möglichen Datenverletzungen, unbefugtem Zugriff und anderen bösartigen Aktivitäten führen kann, schreiben die Sicherheitsforscher.
Interessant ist, dass Morphisec bezüglich der Ausnutzbarkeit zu einer gänzlich anderen Einschätzung gelangt und schreibt, „die Sicherheitslücke CVE-2024-30103 ist aufgrund der hohen Wahrscheinlichkeit einer Ausnutzung besonders besorgniserregend“. Es handele sich um eine Zero-Click-Schwachstelle, bei der der Benutzer nicht mit dem Inhalt einer bösartigen E-Mail interagieren muss. Es reicht die Anzeige in der Vorschau, wodurch die Ausführung von Schadcode extrem einfach ist.
Möglicherweise stuft Microsoft die Sicherheitslücke als „nicht wahrscheinlich ausnutzbar ein“, weil eine Authentifizierung mit gültigen Exchange-Benutzeranmeldeinformationen für den Angriff erforderlich ist. Morphisec hat die Schwachstelle wohl durch Fuzzing und Reverse Engineering des Outlook-Codes gefunden und am 3. April 2024 an Microsoft gemeldet. Am 16. April 2024 wurde die Schwachstelle durch Microsoft bestätigt und zum 11. Juni 2024 mit den Office-Sicherheitsupdates geschlossen. (via)
Ähnliche Artikel:
Office Updates vom 4. Juni 2024
Microsoft Security Update Summary (11. Juni 2024)
Patchday: Windows 10/Server-Updates (11. Juni 2024)
Patchday: Windows 11/Server 2022-Updates (11. Juni 2024)
Windows Server 2012 / R2 und Windows 7 (11. Juni 2024)
Microsoft Office Updates (11. Juni 2024)
>>> mehr Details zu CVE-2024-3010 im Blog-Beitrag <<<
Hier hat sich ein Tippfehler eingeschlichen. Richtig müsste es heissen: CVE-2024-30103.
Mir war kurzzeitig nicht klar ob die Lücke allfällig variantenbezogen unter zwei CVE-Referenzen dokumentiert ist. Ist sie aber nicht.
>>> Möglicherweise stuft Microsoft die Sicherheitslücke als „nicht wahrscheinlich ausnutzbar ein“, weil eine Authentifizierung mit gültigen Exchange-Benutzeranmeldeinformationen für den Angriff erforderlich ist. <<<
Wollen die uns verarschen? Wenn jemand die präparierte eMail des Angreifers zur Ansicht bringt, liegt doch regelmässig eine gültige Authentifizierung vor.
Wo liege ich falsch? Als Antwort bitte vorzugsweise einschlägige Links von learn.microsoft.com.
Ich habe auch auf X schon mehrfach Warnungen von der Lücke gelesen. Wir rollen das Update seit Mittwoch bereits Unternehmensweit aus.
Aber die gleiche Frage habe ich mir auch gestellt, was MS mit „The attacker must be authenticated using valid Exchange user credentials“ meint.
Meine Erklärung / Vermutung wäre, dass User z.B. mit POP3 / IMAP nicht betroffen wären.
Im Gegenzug aber dafür die Business User mit einem Exchange.
Falls da jemand konkrete Infos hat, wäre echt interessant.
Nö.
Der Attacker ist der Angreifer, der die Mail versand hat und nicht der User, der die Mail öffnet.
Und wenn ein Angreifer sich an Exchange anmelden kann, dann ist das Problem noch viel größer als diese Sicherheitslücke.
I.d.R. sind die Exchange Anmeldedaten identisch mit den AD-Anmeldedaten.
Und wenn ein Angreifer die hat, hat er nicht nur Zugriff auf Exchange, sondern auf das komplette Benutzerkonto in der Domäne.
Ich kann daher die Einstufung von Microsoft verstehen.
>>> Der Attacker ist der Angreifer, der die Mail versand hat und nicht der User, der die Mail öffnet.
Und wenn ein Angreifer sich an Exchange anmelden kann, dann ist das Problem noch viel größer als diese Sicherheitslücke. <<<
Selten so einen selbstgerechten Quatsch gelesen.
Ach ja?
Der Benutzer, der die Mail öffnet, wird sich wohl kaum selbst angreifen wollen.
Das wäre absolut sinnlos!
Ergo muß der Angreifer jemand anderes sein.
Und da gibt es nur 2 Möglichkeiten:
1. Er kommt von außerhalb der Organisation. Dann stellt sich die Frage, wie der an Exchange-Benutzeranmeldedaten heran kommt.
Da kann er nur durch einen anderen Angriff dran gekommen sein und dann hat man in der Organisation noch ein weit schwereres Sicherheitsproblem.
2. Er kommt von innerhalb der Organsiation. Dann hat er natürlich Exchange-Benutzeranmeldedaten, nämlich seine eigenen.
Und dann hat man ein schweres Problem mit dieser Person.
Die ist dann nicht mehr vertrauenswürdig und wird i.d.R. die fristlose Kündigung bekommen.
Die Ausnutzbarkeit der Lücke setzt also Möglichkeit 1 oder 2 voraus.