Microsoft Outlook RCE-Schwachstelle CVE-2024-21378; im Februar 2024 gepatcht

[English]Am 13. Februar 2024 wurde mit den Sicherheitsupdates auch die Remote Code Execution-Schwachstelle CVE-2024-21378 in Microsoft Outlook geschlossen. Zum 11. März 2024 wurde nun einer tiefergehende Analyse der Schwachstelle veröffentlicht, wie ich gestern in einem Tweet gesehen habe.

Die Outlook Schwachstelle CVE-2024-21378

Ich hatte bereits im Blog-Beitrag Microsoft Security Update Summary (13. Februar 2024) auf die Schwachstelle CVE-2024-21378 hingewiesen. Es handelt sich um einen Remote Code Execution-Schwachstelle in Microsoft Outlook, die mit einem CVEv3 Score 8.0, important (wichtig), eingestuft wurde. Microsoft stufte diese Schwachstelle in Outlook als "Exploitation More Likely" ein.  Um diese Schwachstelle auszunutzen, müsste sich ein Angreifer mit LAN-Zugang authentifizieren und über eine gültige Anmeldung für einen Exchange-Benutzer verfügen. Wenn der Angreifer diese Voraussetzungen erfüllt, muss er den Nutzer dazu verleiten, eine präparierte Datei zu öffnen. Laut Microsoft ist das Vorschaufenster ein Angriffsvektor, d. h. die Vorschau einer speziell präparierten Datei kann die Sicherheitslücke auslösen.

Zum 13. Februar 2024 wurde dann diese Schwachstelle in allen unterstützten Office-Versionen geschlossen. Ich hatte im Beitrag Microsoft Office Updates (13. Februar 2024) darauf verwiesen, dass das Update KB5002543 diese RCE-Schwachstelle CVE-2024-21378 in den MSI-Installervarianten von Outlook 2016 schließt. Für die Click-to-Run-Varianten hat Microsoft entsprechende Updates bereitgestellt.

Mehr Details zu CVE-2024-21378

Nicolas Krassas weist in nachfolgendem Tweet darauf hin, dass nun weitergehenden Informationen zu dieser RCE-Schwachstelle in Microsoft Outlook bereitstehen. Bereits 2017 wurde von Etienne Stalmans (SensePost, Orange CyberDefense) eine Angriffsmethode publiziert, die VBScript-Code innerhalb von Outlook-Formularobjekten verwendete, um eine Codeausführung mit Zugriff auf ein Postfach zu erreichen. Als Reaktion darauf wurde Microsoft ein Patch veröffentlicht, um das Problem zu entschärfen. Die angreifbare Synchronisierungsfunktion dieser Formularobjekte wurde jedoch nie geändert. Sicherheitsforscher von NetSPI haben sich das zunutze gemacht, um diese Konstruktion auf Schwachstellen zu untersuchen. Bereits 2023 stießen sie darauf, dass Outlook auf diese Weise weiterhin angreifbar ist.

Nachdem die Sicherheitsforscher Microsoft bereits 2023 informierten, stellte das Unternehmen im Februar 2024 ein Update zum Schließen der Schwachstelle bereit. Zum 11. März 2024 haben die Sicherheitsforscher mehr Details zur Schwachstelle und deren Ausnutzung im Blog-Beitrag CVE-2024-21378 — Remote Code Execution in Microsoft Outlook veröffentlicht.

Ansatzpunkt ist, dass Formulare in Outlook über MAPI mit Hilfe von IPM.Microsoft.FolderDesign.FormsDescription-Objekten synchronisiert werden. Diese Objekte enthalten spezielle Eigenschaften und Anhänge, die verwendet werden, um das Formular zu "installieren", wenn es zum ersten Mal auf einem Client verwendet wird. Die Sicherheitsforscher stellten fest, dass es ihnen möglich war, beliebige Dateien auf der Festplatte zu erstellen sowie beliebige Registrierungsschlüssel (mit Standardwerten) unter HKEY\_CLASSES\_ROOT (HKCR) zu installieren. Diese Primitive reichen aus, um auf triviale Weise eine Remote Code Execution über Microsoft Outlook auszuführen.

Bei Interesse lassen sich die Details im oben verlinkten Beitrag der Sicherheitsforscher nachlesen. Für Nutzer und Administratoren reicht aber aus, zu wissen, dass die Sicherheitsupdates von Februar 2024 zu installieren sind, um vor dieser Schwachstelle geschützt zu sein.

Ähnliche Artikel:
Microsoft Security Update Summary (13. Februar 2024)
Microsoft Office Updates (13. Februar 2024)