Attacken aus Russland Microsoft warnt vor Sicherheitslücke bei Outlook
Seit einem Jahr attackieren Angreifer aus Russland Unternehmen über eine Lücke in Outlook. Was sich nach Spionagethriller anhört, könnte auch Sie betreffen.
Microsoft hat über Umwege bekannt gegeben, dass alle Windows-Versionen von Outlook eine schwere Sicherheitslücke aufweisen. Das Unternehmen veröffentlichte am Dienstag – wie jeden zweiten Dienstag im Monat – seine neuesten Updates. Diesmal fand sich unter den 80 sogenannten Patches (zu deutsch: Flicken) einer, der ein Loch in Outlook flicken soll.
Das Update mit der Nummer CVE-2023-23397 ist laut dem investigativen Cybercrime-Blog "KrebsOnSecurity.com" von Microsoft mit einem Schweregrad von 9,8 (der Höchstwert ist 10) als "kritisch" eingestuft worden.
Hackergruppe namens APT28 nutzte Lücke aus
Die Schwachstelle wurden den Angaben des Unternehmens zufolge aktiv ausgenutzt. So habe "ein in Russland ansässiger Bedrohungsakteur die in CVE-2023-23397 gepatchte Schwachstelle für gezielte Angriffe auf eine begrenzte Anzahl von Organisationen in den Bereichen Regierung, Transport, Energie und Militär in Europa verwendet."
Laut "Spiegel.de" handelt es sich bei den Angreifern um eine dem russischen Militärgeheimdienst GRU nahestehende Hackergruppe namens APT28. Sie werde auch als Strontium, Sednit, Sofacy und Fancy Bear bezeichnet. Die Hacker hätten die Schwachstelle demnach von April 2022 bis Dezember desselben Jahres genutzt, um sich Zugang zu den Mailsystemen zu verschaffen.
So perfide ist der Hack
Wie sie das gemacht haben? Die Cybercrime-Experten von "KrebsOnSecurity.com" schreiben: "Die bekannte Schwachstelle ermöglicht es einem Angreifer, den NTLM-Hash (das Windows-Kontopasswort, Anm. d. Red.) einer anderen Person zu erlangen und ihn für einen Angriff zu verwenden."
Das heißt: Am anderen Ende muss nicht mal ein Link oder Ähnliches angeklickt werden, um ein Einfallstor für die Angreifer zu öffnen. Es reicht schon aus, wenn der Server die Nachricht entgegennimmt. Das sei vergleichbar "mit einem Angreifer, der ein gültiges Passwort besitzt und Zugang zu den Systemen eines Unternehmens hat", zitiert der Blog den IT-Sicherheitsexperten Kevin Breen.
Von der Sicherheitslücke sind alle noch von Microsoft unterstützten Windows-Versionen von Outlook betroffen, heißt es in einem Microsoft-Blogeintrag. Die im Browser laufende Web-Version von Outlook sowie die Outlook-Apps für Android iOS, macOS sowie alle anderen Dienste des Office-Pakets Microsoft 365 seien hingegen immun, da sie nicht die gleiche Technik verwenden.
- KrebsOnSecurity.com: "Microsoft Patch Tuesday, March 2023 Edition"
- mcrcMicrosoft.com: "Leitfaden für Sicherheitsupdates"
- msrc.microsoft.com: "Microsoft Mitigates Outlook Elevation of Privilege Vulnerability" (englisch)
- Spiegel.de: "Microsoft warnt vor kritischer Outlook-Schwachstelle"