Sicherheitslücke bei Outlook: Akamai untersucht Patch und deckt wichtigen Fehler in der Windows-API auf

Analysten von Akamai haben entdeckt, dass die Behebung einer wichtigen Outlook-Schwachstelle von März 2023 unzuverlässig war. Mit diesen Erkenntnissen konnte Microsoft Threat Intelligence die Sicherheitslücke nun schließen.

Die im März entdeckte erste Schwachstelle ermöglicht einem Angreifer, einen Outlook-Client dazu zu zwingen, sich mit dem Server des Angreifers zu verbinden. Auf diese Weise sendet der Client NTLM-Anmeldeinformationen an den Rechner, sodass Cyberkriminelle das Kennwort knacken oder in einem Relay-Angriff verwenden können. Diese sogenannte Zero-Click-Sicherheitslücke kann aus der Ferne ohne jegliche Benutzerinteraktion ausgenutzt werden.

Nach Einschätzung von Microsoft Threat Intelligence nutzt ein russischer Bedrohungsakteur die Sicherheitslücke seit etwa einem Jahr für gezielte Angriffe auf mehrere europäischen Regierungsbehörden sowie Organisationen in den Bereichen Transport, Energie und Militär.

Alle Windows-Versionen sind von der Sicherheitslücke betroffen. Daher sind alle Outlook-Client-Versionen unter Windows anfällig. Nach Angaben von Microsoft Threat Intelligence beschränkt sich das Risiko allerdings auf Rechner, auf denen Exchange-Server laufen, die seit März / April nicht gepatcht wurden.

Die ursprüngliche Outlook-Schwachstelle wurde im März mit einer Windows-API-Funktion gepatcht. Bei einer Untersuchung dieses Patches entdeckte Akamai jedoch eine Möglichkeit, die Behebung dieser Sicherheitslücke zu umgehen. Das haben die Experten sofort an Microsoft kommuniziert, sodass die Lücke geschlossen werden konnte.

Weitere Hintergründe finden Sie auf dem Blog von Akamai: http://akamai.com/blog/security-research/important-outlook-vulnerability-bypass-windows-api