Microsoft warnt vor kritischer Outlook-Schwachstelle
Wie an jedem zweiten Dienstag des Monats hat Microsoft auch in dieser Woche Updates veröffentlicht, mit denen bisher erkannte Sicherheitslücken geschlossen werden sollen. Diesen Dienstag waren es 80 – und eines davon sticht besonders hervor, denn Microsoft bewertet die dazugehörige Sicherheitslücke mit einem Schweregrad von 9,8 auf einer 10er-Skala.
Das bedeutet, dass sie „kritisch“ ist, weil sie laut Microsoft aktiv über Outlook ausgenutzt wurde.
Microsoft vermutet russische Hacker:innen hinter den Angriffen
Besonders perfide macht den Angriff aber, dass es dabei nicht einmal zu einer Nutzer:innen-Interaktion kommen muss, sprich: Betroffene müssen nicht erst auf eine infizierte Email klicken, um den Angriff auszulösen. Vielmehr reiche es bereits aus, dass der Mail-Server die Nachricht entgegennimmt, schreibt der Spiegel.
Interessant ist auch, wer diese Lücke anscheinend ausnutzt. Microsoft geht davon aus, dass „ein in Russland ansässiger Bedrohungsakteur“ die Schwachstelle für „gezielte Angriffe auf eine begrenzte Anzahl von Organisationen in den Bereichen Regierung, Transport, Energie und Militär in Europa“ verwendet habe.
Alle Outlook-Versionen für Windows seien betroffen
Bleeping Computer berichtet, dass es sich dabei um die russische Hackergruppe APT28 handeln soll, die dem russischen Militärgeheimdienst GRU nahen stehen soll. Sie ist auch unter den Synonymen Fancy Bear und Sofacy bekannt.
Auch das Bundesamt für Sicherheit in der Informationstechnik warnt vor der Sicherheitslücke, der die Bezeichnung CVE-2023-23397 gegeben wurde. Betroffen seien „alle Outlook-Versionen für Windows“. Angreifende könnten eine manipulierte E-Mail nutzen, um Net-NTLMv2 Hashes abzugreifen, schreibt das Ministerium.
Microsoft bietet Patch und Script an
Wie genau das funktioniert, erläutert der Cybersicherheits-Blog Krebs on Security. Durch diesen Angriff können sich Cyberkriminelle dem Server gegenüber als vertrauenswürdige Personen ausgeben, ohne im Besitz des Passworts eines/r realen Nutzer:in zu sein.
„Dies entspricht einem Angreifer, der über ein gültiges Passwort Zugriff auf das System hat“, erklärte der IT-Sicherheitsexperte Kevin Breen. Das Abgreifen der Net-NTLMv2 Hashes kommt sozusagen dem Knacken des Passwortes gleich.
Microsoft hat alle potenziell Betroffenen aufgefordert, den angebotenen Patch umgehend anzuwenden. Über ein Script, das ebenfalls zur Verfügung gestellt wird, sollen Administrator:innen zudem erkennen können, ob sie über die Lücke angegriffen worden sind. Sollte dies der Fall gewesen sein, sollen schädliche Dateien darüber ausgemacht werden und „permanent“ gelöscht werden können.