15.03.2023 16:56

CVE-2023-23397 - der (interessante) Teufel steckt im Detail

Im Regelfall veröffentlichen wir zu Sicherheitslücken, die durch den Hersteller im Rahmen eines regulären Patchzyklus behoben werden, keine Warnung. Die Motivation dahinter ist, dass wir unsere Warnungen als Werkzeug betrachten, Informationen über kritische Schwachstellen mit entsprechender Urgenz an die jeweiligen Adressat:innen bringen wollen. Dementsprechend entscheiden wir relativ konservativ, wovor oder worüber wir warnen, um die Wirkung selbiger nicht zu verwässern.

Aber, wie so oft, bestätigen Ausnahmen die Regel - der im Rahmen des diesmonatigen Patchday von Microsoft veröffentlichte Fix für CVE-2023-23397 ist genau so ein Fall. Die weite Verbreitung von Microsoft Outlook, kombiniert mit der vergleichsweise trivialen Ausnutzbarkeit sowie des laut dem Unternehmen bereits erfolgten Missbrauches der Schwachstelle bei Angriffen ist ein ausreichender Motivator um mit absolutem Nachdruck zu sagen: Aktualisierung einspielen. Jetzt.

Um, zumindest zu einem gewissen Grad, sicherstellen zu können, dass man nicht bereits Opfer einer Ausnutzung wurde, lässt sich das Script verwenden, welches das Unternehmen aus Redmond im selben Atemzug mit dem Patch veröffentlicht hat. Damit lassen sich Exchange-Server auf Spuren einer Kompromittierung von Zugangsdaten untersuchen - indem Mails und Kalendereinträge auf darin vorhandene UNC-Pfade durchleutet werden.

Neben technischen Informationen zu CVE-2023-23397 enhält das Advisory zu der Sicherheitslücke diversen Metriken, sowie Empfehlungen zur Risikominimierung und noch einige andere Informationen. Wo sich Microsoft aber in einen Mantel des Schweigens hüllt sind Details zu der berichteten bereits erfolgten Ausnutzung - Information, die nicht unwichtig ist.

Für die eigene Risikobewertung ist es durchaus von Relevanz, ob die Schwachstelle durch finanziell motivierte Bedrohungsakteure ausgenutzt wurde, oder ob sie bei nachrichten-/geheimdienstlich gesteuerten Spionagekampagnen missbraucht wurde.

Ein Indikator findet sich  in der Danksagung:

CERT-UA, Microsoft Incident Response, Microsoft Threat Intelligence (MSTI)

 Deutlichere Worte findet das Unternehmen in einem Blogpost:

Through joint efforts, Microsoft is aware of limited targeted attacks using this vulnerability and initiated communication with the affected customers. Microsoft Threat Intelligence assesses that a Russia-based threat actor used the exploit patched in CVE-2023-23397 in targeted attacks against a limited number of organizations in government, transportation, energy, and military sectors in Europe.

Ich lehne mich mal vorsichtig aus dem Fenster und deduziere, dass die Entdeckung der Schwachstelle im Rahmen einer forensischen Untersuchung der ukrainischen CERT-Kollegen erfolgt ist und in weiterer Folge Microsoft gemeldet wurde - was an und für sich gesprochen schon erfreulich ist. Nicht nur, weil die Kooperation zwischen staatlichen Stellen und Herstellern wohl nicht immer einfach ist, und die Beeinträchtigungen, die die Arbeit in einem aktiven Kriegsgebiet mit sich bringt. Sondern auch, weil es eine meiner (von mir gerne salopp als Tatsache deklarierte) Theorien unterstützt.

Ich höre auf Konferenzen und in Gesprächen mit Kolleg:innen aus der Branche immer wieder die Aussage, dass sich Angreifer:innen gar nicht bemühen müssten, weil die trivialen Techniken und billigen Tricks ausreichen würden.

Aber auch Witze und Gelächter über russische Bedrohungsakteure und ihre Aktivitäten seit Beginn des russischen Angriffskrieges gegen die Ukraine sind keine Seltenheit - insbesondere, weil deren Performance im Rahmen offensiver Computer-Netzwerk-Operationen in der öffentlichen Wahrnehmung ähnlich bescheiden ist, wie die der russischen Streitkräfte gerade zu Beginn der seit über einem Jahr andauernden dreitägigen Spezialoperation.

Die Geschehnisse rund um die Entdeckung von CVE-2023-23397 zeigt für mich, dass Beides fälschliche Annahmen sind. Natürlich freuen sich Angreifer:innen, wenn die Kompromittierung ihrer Ziele ohne großen Aufwand möglich ist. Aber sie scheuen ganz sicher nicht davor zurück zu komplexen Angriffsmethoden oder zur "Verbrennung" bisher unbekannter Schwachstellen zu greifen, wenn die einfachen Methoden nicht funktionieren oder nicht im erwünschten Ausmaß erfolgversprechend sind. Alles ist erlaubt, solange es die Erreichung der Ziele unterstützt.

Ja, die von einer Vielzahl von "Expert:innen" angekündigte "digitale Zerstörungswelle" gegen europäische Netzwerke und Computersysteme ist ausgeblieben. Und ja, manche der enttarnten (oder, im Fall diverser pseudo-hacktivistischer Gruppierungen, öffentlich angekündigten) Angriffsversuche Russland zugerechnteter Bedrohungsakteure waren schon fast lachhaft tollpatschig. Aber in jedem Konflikt gilt, dass es niemals eine gute Idee ist, seine Widersacher zu unterschätzen - das wusste schon Sunzi .. oder Carl von Clausewitz. Auf jeden Fall bin ich sicher nicht der Erste, der das propagiert.


Oh, und weil's eine billige Gelegenheit ist: Diese Schwachstelle ist ein erneutes, eindrucksvolles Beispiel, warum sowohl "Defense in Depth" als auch 2FA wichtige Komponenten der eigenen Sicherheitsstrategie sind. Es gab, bis zu der Veröffentlichung des Patches, relativ wenig, was man gegen einen Missbrauch der Schwachstelle hätte tun können. Aber auch der coolste gestohlene Net-NTLMv2-Hash hilft Angreifer:innen wenig, wenn der dazugehörige zweite Faktor sicher verwahrt auf einem Hardwaretoken in der Hosentasche der eigenen Mitarbeiter:innen ist.

Verfasst von: Alexander Riepl