In den Veröffentlichungen des monatlichen Patchdays von Microsoft ist u.a. der Patch für eine „Microsoft Outlook Elevation of Privilege Vulnerability“ (CVE-2023-23397; CVSS-Score 9.1) enthalten. Es handelt sich dabei um eine Schwachstelle, die es Angreifenden ermöglicht, die Windows-Anmeldedaten eines Opfers zu erlangen, indem sie eine speziell gestaltete E-Mail senden.Der Angriff kann sogar erfolgreich sein, wenn der Empfänger die Mail gar nicht öffnet – es handelt sich also nicht um klassisches Phishing.
Dies kann zu einem Datenverlust oder einer Kompromittierung des Systems bzw. des kompletten ADs führen. Es betrifft ausschließlich den Desktop-Client. Die OWA-Variante von Outlook (im Browser) ist nicht betroffen.
So weit so ärgerlich, aber was ist jetzt zu tun?
Glücklicherweise kann die Sicherheitslücke durch ein Patch vom User selbst behoben werden. Klicken Sie hierzu in Ihrem Outlook-Postfach auf „Datei“ und anschließend auf „Office-Konto“. Über die Schaltfläche „Updateoptionen“ kann auf „Jetzt aktualisieren“ geklickt werden. Wer dann den Anweisungen folgt, hat das Problem schnell behoben.
Was noch?
Aktuell empfiehlt Microsoft den TCP-Port 445 ausgehend vollständig zu sperren, damit Outlook keine Verbindung zum SMB-Share des Angreifers aufbauen kann und so der NTLM-Hash nicht gesendet werden kann. Dies kann beispielsweise über die lokale Firewall umgesetzt werden. Vorher sollte jedoch geprüft werden, ob Dienste im Einsatz sind, die von TCP-Port 445 abhängig sind.
Darüber hinaus gibt es weitere dringende Patches, unter anderem für Windows-Server-Systeme. Ob Notfall-Patches erforderlich sind, hängt von der IT-Landschaft ab. Dies muss selbst geprüft werden.
Im Normalfall jedoch reicht es aus, die aktuellen Updates auf dem Server, sowie den Clients herunterzuladen und zu installieren.
Wenden Sie sich im Zweifelsfall gerne an einen unserer Beratenden!