Im September 2025 wird Exchange Online die Unterstützung für die Basic Authentication bei der Client Submission über SMTP AUTH einstellen. Diese Änderung betrifft alle Anwendungen und Geräte, die derzeit diese Methode nutzen, um E-Mails zu senden. Stattdessen wird OAuth als sicherere Authentifizierungsmethode erforderlich sein.
Wer ist betroffen?
Betroffen sind Organisationen und Einzelpersonen, die Exchange Online für das Versenden von E-Mails über SMTP AUTH nutzen. Insbesondere diejenigen, die bisher Basic Authentication verwendet haben, müssen auf moderne Authentifizierungsmethoden umstellen.
Was muss berücksichtigt werden?
Überprüfung der Authentifizierungsmethode: Nutzer sollten im Exchange Admin Center überprüfen, ob bereits OAuth verwendet wird oder noch Basic Auth im Einsatz ist.
Anpassung der E-Mail-Clients: Sollte Ihr E-Mail-Client noch Basic Auth verwenden, ist ein Update oder Wechsel des Clients notwendig, um OAuth zu unterstützen.
Alternative Lösungen: Falls eine Umstellung auf OAuth nicht möglich ist, sollten Nutzer alternative E-Mail-Lösungen in Betracht ziehen, wie z.B. High Volume Email für Microsoft 365 oder Azure Communication Services Email.
Diese Umstellung erfordert eine frühzeitige Planung und gegebenenfalls technische Anpassungen, um einen reibungslosen Übergang zu gewährleisten und die Sicherheit der Datenkommunikation zu erhöhen. Es ist wichtig, dass betroffene Organisationen und Individuen rechtzeitig mit den Vorbereitungen beginnen, um Unterbrechungen im E-Mail-Verkehr zu vermeiden. Weitere Informationen finden Sie auf der offiziellen Ankündigungsseite von Microsoft.
CVE-2023-23397 ist eine kritische Schwachstelle in Microsoft Outlook, die es einem Angreifer ermöglicht, die Windows-Anmeldedaten (NTLM-Hash) eines Opfers zu stehlen, indem er eine speziell gestaltete E-Mail sendet. Der Angreifer kann dann den Hash verwenden, um sich gegen andere Dienste zu authentifizieren. Dies kann zu einem Datenverlust oder einer Kompromittierung des Systems bzw. des kompletten AD’s (Stichwort: Lateral Movement) führen. Die Schwachstelle wurde bereits ausgenutzt von staatlich unterstützten und Ransomware-Akteuren. Microsoft hat ein Sicherheitsupdate für Outlook veröffentlicht, um diese Schwachstelle zu beheben.
Um sich zu schützen, sollten Sie das Update so schnell wie möglich installieren und überprüfen, ob Sie von der Schwachstelle betroffen sind.
Wichtig: Die Sicherheitslücke ist nicht abhängig von der Exchange Variante. Da es sich um eine Sicherheitslücke im Outlook Client handelt, sind auch Exchange Online Postfächer betroffen.
Wie überprüfe ich, ob ich bereits von der Schwachstelle betroffen bin.
Um zu überprüfen, ob Sie bereits von der Schwachstelle betroffen sind, können Sie ein Skript verwenden, das Microsoft erstellt hat. Das Skript sucht nach verdächtigen E-Mails in Ihrem Postfach und zeigt Ihnen an, ob Sie eine Verbindung zu einem Angreifer-Server hergestellt haben.
Voraussetzungen für die Ausführung des Skripts für Exchange Server
Um dieses Skript in einer lokalen Exchange Server-Umgebung auszuführen, müssen Sie ein Konto mit der Verwaltungsrolle ApplicationImpersonation verwenden. Sie können eine neue Rollengruppe mit den erforderlichen Berechtigungen erstellen, indem Sie den folgenden PowerShell-Befehl in einer erhöhten Exchange Management Shell (EMS) ausführen:
Ändern Sie die Erweiterung der Datei von .nupkg in .zip
Entpacken Sie das Paket.
Verwenden Sie die DLL, die im Paket unter „\lib\net35“ zu finden ist.
Geben Sie beim Ausführen des Skripts den Pfad zur DLL für den Parameter DLLPath an.
Wie führe das Skript für alle Exchange Online Postfächer aus?
Führen Sie das Skript zunächst im „Audit Mode“ als Administrator mit der Rolle Organisationsmanagement aus. Zum Scannen von Online-Postfächern sollte der Umgebungsparameter „Online“ sein.
Für das Scannen von Exchange Online-Postfächern benötigt das Skript eine Azure AD-Anwendung, die über Delegierungsberechtigungen für alle Exchange Online-Postfächer verfügt. Sie können die Anwendung mithilfe des Skripts erstellen. Sobald die Anwendung nicht mehr benötigt wird, können Sie sie ebenfalls mit dem Skript löschen.
AzureAD Anwendung verwalten:
Mit dieser Syntax wird das Skript zur Erstellung einer Azure-Anwendung ausgeführt:
.\CVE-2023-23397.ps1 -CreateAzureApplication
Mit dieser Syntax wird das Skript ausgeführt, um die vom Skript erstellte Azure-Anwendung zu löschen. (Erst nach der Ausführung des Skriptes notwendig)
.\CVE-2023-23397.ps1 -DeleteAzureApplication
Audit Mode:
Mit dieser Syntax wird das Skript zur Überprüfung aller Postfächer in Exchange Online ausgeführt. Hierzu muss vorher eine Verbindung mit dem Exchange Online in der PowerShell hergestellt werden, da „Get-Mailbox“ sonst nur die OnPremise Postfächer auflistet.
Mit dieser Syntax wird das Skript ausgeführt, um die problematische Eigenschaft aus den Nachrichten zu löschen.
.\CVE-2023-23397.ps1 -CleanupAction ClearProperty -CleanupInfoFilePath <Path to modified CSV>
Mit dieser Syntax wird das Skript ausgeführt, um Nachrichten zu löschen, die die problematische Eigenschaft enthalten.
.\CVE-2023-23397.ps1 -CleanupAction ClearItem -CleanupInfoFilePath <Path to modified CSV>
Fehler bei der Skriptausführung und Fehlerbehebung
Exchange Server unterstützt die angeforderte Version nicht.
Wenn es Exchange 2013-Server in einer Umgebung mit Exchange 2016 oder Exchange 2019 gibt, kann das Skript möglicherweise keine Postfächer auf Exchange 2013 öffnen und den folgenden Fehler anzeigen:
Wenn der oben genannte Fehler auftritt, führen Sie das Skript mit dem Parameter EWSExchange2013 aus:
Wenn Autodiscover aufgrund eines Umleitungsfehlers fehlschlägt und der oben genannte Fehler auftritt, geben Sie die EWS-URL mit dem Parameter EWSServerURL an.
[Update 11:35 Uhr] – Auch Intune und Defender for Cloud Apps scheinen betroffen zu sein. Es scheint, dass eine Änderung des WAN Routings seitens Microsoft zu den Problemen führt.
[Update 10:50 Uhr] – Microsoft meldet, dass der Fehler möglicherweise auf getätigte Änderungen der Netzwerkinfrastruktur zurückzuführen ist. Derzeit wird daher ein Rollback der Netzwerkeinstellungen durchgeführt.
Microsoft meldet derzeit Probleme mit ihren M365 Diensten. Der Incident mit der Bearbeitungsnummer MO502273 führt zu Problemen beim Zugriff auf diverse M365 Produkte.
Auch der Zugriff auf die Administrationsportale scheint problematisch zu sein. Laut Microsoft sind folgende Dienste betroffen:
Microsoft Teams Exchange Online Outlook SharePoint Online OneDrive for Business Microsoft Graph PowerBi M365 Admin Portal Microsoft Intune Microsoft Defender for Cloud Apps, Identity and Endpoint.
Microsoft arbeitet derzeit an der Lösung des Problems.