Patch Tuesday van maart 2023 (2023-23397, Microsoft Outlook EoP)
20 maart 2023
Bron: Tenable, Access42, Microsoft
Updates:
- 10 mei 2023 – Onderzoekers van Akamai hebben op 9 mei een zero-click kwetsbaarheid geïdentificeerd (CVE-2023-29324 – Windows MSHTML Platform Security Feature Bypass Vulnerability). Deze CVE-kwetsbaarheid kan gebruikt worden om de Microsoft patch voor CVE-2023-23397 te omzeilen.
Vorige week dinsdag (Patch Tuesday) zijn er door Microsoft nieuwe security updates uitgebracht, hierin zijn 76 verschillende CVE-kwetsbaarheden opgelost, waaronder 9 met een ‘critical’ severity en 66 met een ‘high’ severity.
De meest prominente bevinding die gemitigeerd wordt met deze security update is CVE-2023-23397. Deze kwetsbaarheid in MIcrosoft Outlook is remotely exploitable, waarvoor ook publiekelijk exploit-code beschikbaar is. Uit eigen testen in het lab van Access42 blijkt dat deze kwetsbaarheid eenvoudig te exploiteren is.
Critical: CVE-2023-23397 | Security Updates voor Outlook Elevation of Privilege
De ernstigste kwetsbaarheid bevindt zich in Outlook en heeft als kenmerk CVE-2023-23397. Deze kwetsbaarheid stelt een kwaadwillende in staat om zich voor te kunnen doen als het slachtoffer. De aanvaller moet hiervoor een malafide e-mail versturen naar het slachtoffer. Wanneer de mailserver de externe links verwerkt in deze e-mail, kan contact worden gemaakt met de externe, malafide mailserver van de kwaadwillende, waarmee de Net-NTLMv2-hash kan lekken naar de kwaadwillende. Deze kan dan weer gebruikt worden om toegang te krijgen tot de omgeving van het slachtoffer. Hiervoor is géén interactie met het slachtoffer nodig.
Advies
Wij adviseren om:
- Spoedig alle security updates uit te voeren die zijn uitgebracht door Microsoft. Geef hierbij extra prioriteit aan de CVE-kwetsbaarheid (CVE-2023-23397) in Microsoft Outlook.
- Egress filtering toe te passen. Filter minimaal SMB-verkeer (445/tcp).