Sofortiger Patch dringend empfohlen
Brandgefährliche Zero-Klick-Schwachstelle in Outlook
Microsoft schließt eine besonders gefährliche Schwachstelle in Outlook, über die Angreifer ungehindert fremde Systeme infizieren können. Sie wird bereits seit einem Jahr gezielt von russischen Hackergruppen genutzt und bietet ein enormes Bedrohungspotenzial.
Mit dem März-Update schließt Microsoft mehr als 70 sicherheitsrelevante Lücken in seinen Softwareprodukten, neun davon werden als kritisch eingestuft. Eine der Schwachstellen ist allerdings besonders gefährlich: Die Lücke CVE-2023-23397 kommt auf einen CVSS-Risikowert von 9,8. Dabei handelt es sich um eine Schwachstelle in Outlook für Windows, über die Angreifer vergleichsweise einfach Verifizierungs-Hashes für das Windows-Authentifizierungsverfahren New Technology LAN Manager (Net-NTLMv2) auslesen und sich damit anschließend selbst als das Opfer ausgeben können. Dadurch erlangen sie Zugriff auf weitere Systeme und können Schadcode injizieren. Der Angriff wird beim Empfang der E-Mail automatisch ausgelöst, eine Aktion des Opfers wie das Öffnen der Vorschau, der E-Mail oder das Klicken auf einen Link ist nicht notwendig (Zero-Klick). Andere Outlook-Versionen wie die M-365-Variante sind von dem Problem nicht betroffen.
Entdeckt hat die Lücke das Computer Emergency Response Team der Ukraine (Cert UA), laut dem sie bereits seit April vergangenen Jahres gezielt von staatsnahen russischen Hackergruppen wie Fancy Bear genutzt wird, um wichtige Systeme in der Ukraine sowie mehrerer sie unterstützender Regierungen zu infiltrieren. Attacken auf andere Ziele sind bisher nicht bekannt, es ist jedoch davon auszugehen, dass auch andere Akteure wie Ransomware-Gruppen diesen einfachen wie effizienten Angriffsweg bereits in ihr Playbook aufgenommen haben. Mehrere Security-Anbieter legten bereits kurz nach dem Bekanntwerden Proof-of-Concepts für die Machbarkeit entsprechender Angriffe vor. Damit sind in den nächsten Tagen und Wochen unmittelbar auch Angriffe auf Unternehmen und andere Einrichtungen zu erwarten. Um das zu vermeiden, sollte der aktuelle Patch möglichst sofort installiert werden. Außerdem wird dazu geraten, zu überprüfen, ob es bereits Angriffe über die Schwachstelle auf die eigene Infrastruktur gegeben hat. Dazu stellt Microsoft ein eigenes Skript bereit.
Lesen Sie mehr zum Thema
