Microsoft: Sicherheitslücke in Outlook wird aktiv ausgenutzt

Eine Sicherheitslücke in der E-Mail-Software Outlook von Microsoft ermöglicht es Angreifern, aus der Ferne an gehashte Passwörter zu gelangen. Dazu reicht es aus, Personen eine präparierte E-Mail zuzusenden. Die Sicherheitslücke wird bereits seit geraumer Zeit aktiv ausgenutzt. Microsoft hat nun einen Patch veröffentlicht.

Laut Microsoft können ein Angreifer die Sicherheitslücke (CVE-2023-23397) ausnutzen, indem sie eine E-Mail mit einer erweiterten MAPI-Eigenschaft mit einem UNC-Pfad zu einer SMB-Freigabe an sein Opfer sendet, der auf einen vom Angreifer kontrollierten Server zeigt.

"Die Verbindung zum entfernten SMB-Server sendet die NTLM-Aushandlungsnachricht des Benutzers, die der Angreifer dann zur Authentifizierung an andere Systeme weiterleiten kann, die die NTLM-Authentifizierung unterstützen", erklärte Microsoft. Eine Nutzeraktion sei dafür nicht notwendig. Neben E-Mails soll der Angriff auch mit Kalenderterminen oder Notizen funktionieren

Betroffen ist ausschließlich Outlook unter Windows. Die Versionen für iOS, Android, MacOS sowie die Web-Variante Microsoft 365 sind nicht betroffen.

Von Russland ausgenutzt, von Ukraine gemeldet

Entdeckt und an Microsoft gemeldet wurde die Sicherheitslücke vom ukrainischen Computer Emergency Response Team (CERT-UA). Nach Angaben von Microsoft soll die dem russischen Geheimdienst GRU nahestehenden Hackergruppe APT28, die auch unter den Namen Fancy Bear, Strontium und Sofacy bekannt ist, die Sicherheitslücke bereits aktiv ausgenutzt haben. Dabei soll es sich um gezielte Angriffe auf mehrere europäische Organisationen in den Bereichen Regierung, Transport, Energie und Militär gehandelt haben.

Administratoren wird dringend geraten, den Patch einzuspielen sowie mit einem von Microsoft zur Verfügung gestellten Skript zu prüfen, ob die Systeme bereits über die Sicherheitslücke angegriffen wurden.