Aktuell wird die Microsoft Exchange Sicherheitslücke CVE-2023-23397 in Outlook von der russischen Hackergruppe APT28, auch als „Fancybear“ bekannt, aktiv ausgenutzt. Das Microsoft Threat Intelligence-Team schlägt Alarm, denn diese Lücke ermöglicht es Hackern, Kontrolle über Microsoft Exchange-Konten zu erlangen und sensible Daten zu entwenden.
Was ist CVE-2023-23397 und warum ist es so gefährlich?
CVE-2023-23397 ist eine Privilegienerhöhung (Elevation of Privilege, EoP) in Outlook auf Windows, die im März 2023 von Microsoft gepatcht wurde. Seit April 2022 nutzt APT28 diese Schwachstelle, um sich Zugang zu Systemen zu verschaffen. Die Hacker senden speziell gestaltete Outlook-Notizen, die NTLM-Hashes stehlen und die betroffenen Geräte zwingen, sich automatisch mit von Angreifern kontrollierten SMB-Shares zu verbinden.
Die Auswirkungen und die Reaktion der Welt
Die Ausnutzung dieser Schwachstelle hat es APT28 ermöglicht, gezielte E-Mail-Diebstähle durchzuführen und die Sicherheit zahlreicher Organisationen zu gefährden. Recorded Future berichtete, dass APT28 diese Methode gegen ukrainische Ziele einsetzte, und ANSSI aus Frankreich enthüllte, dass französische Regierungsstellen, Unternehmen und Bildungseinrichtungen betroffen waren.
Was können Microsoft Exchange-Nutzer tun?
Es ist entscheidend, dass Nutzer sofort handeln, um ihre Systeme zu schützen. Hier sind einige wichtige Schritte:
- Sicherheitsupdates installieren: Installieren Sie unbedingt die Patches für CVE-2023-23397 und die spätere Umgehung CVE-2023-29324.
- Überprüfung und Sicherheitsmaßnahmen: Nutzen Sie Microsofts Skript, um festzustellen, ob Sie betroffen sind. Setzen Sie die Passwörter aller betroffenen Benutzer zurück und aktivieren Sie Multi-Faktor-Authentifizierung (MFA).
- SMB-Verkehr einschränken: Blockieren Sie die Ports 135 und 445 für alle eingehenden IP-Adressen.
- NTLM deaktivieren: Erwägen Sie, NTLM in Ihrer Umgebung zu deaktivieren.
Fazit: Bleiben Sie wachsam!
Die Bedrohung durch APT28 unterstreicht die Wichtigkeit regelmäßiger Updates und eines umfassenden Sicherheitskonzepts. Sollten Sie Ihre Exchange-Systeme durch gezielte Maßnahmen hackersicherer machen wollen, beraten wir Sie dabei gerne
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: