Die US-Behörde für Cybersicherheit und Infrastruktur (CISA) hat eine dringende Warnung bezüglich einer kritischen Sicherheitslücke in Microsoft Outlook herausgegeben. Die als CVE-2024-21413 klassifizierte Schwachstelle wird bereits aktiv von Cyberkriminellen ausgenutzt. Bundesbehörden wurden angewiesen, entsprechende Sicherheitsupdates bis zum 27. Februar 2025 zu implementieren.
Technische Details zur Moniker Link-Schwachstelle
Die von Sicherheitsforschern bei Check Point entdeckte Schwachstelle betrifft mehrere Microsoft-Produkte, darunter Office LTSC 2021, Microsoft 365 Apps for Enterprise sowie ältere Versionen wie Outlook 2016 und Office 2019. Besonders besorgniserregend ist die Möglichkeit der Remote Code Execution (RCE) allein durch das Öffnen präparierter E-Mails.
Funktionsweise des Angriffsvektors
Die als „Moniker Link“ bezeichnete Schwachstelle ermöglicht es Angreifern, den Protected View-Schutzmechanismus von Microsoft Office zu umgehen. Der Exploit funktioniert durch eine spezielle URL-Formatierung, bei der ein Ausrufezeichen nach der Dateiendung eingefügt wird. Diese simple aber effektive Technik hebelt die üblichen Sicherheitswarnungen aus.
Anatomie einer Moniker Link-Attacke
Angreifer nutzen speziell präparierte URLs im Format „file:///\\server\path\file.rtf!beliebiger_text“. Diese Methode umgeht die Sicherheitskontrollen so geschickt, dass keine Warnmeldungen für Endnutzer erscheinen. Selbst die Vorschaufunktion in Outlook kann als Einfallstor für erfolgreiche Angriffe dienen.
Potenzielle Auswirkungen und Bedrohungen
Eine erfolgreiche Ausnutzung der Schwachstelle kann schwerwiegende Folgen haben:
– Diebstahl von NTLM-Anmeldedaten
– Ausführung beliebigen Schadcodes
– Vollständige Kompromittierung von Unternehmensnetzwerken
Aufgrund der Aufnahme in den Known Exploited Vulnerabilities (KEV)-Katalog und der bestätigten aktiven Ausnutzung empfehlen Sicherheitsexperten dringend die sofortige Installation verfügbarer Sicherheitsupdates. Organisationen sollten zusätzliche Schutzmaßnahmen implementieren, wie etwa die Deaktivierung der Vorschaufunktion und die Schulung von Mitarbeitern im Umgang mit verdächtigen E-Mails. Die zeitnahe Umsetzung dieser Maßnahmen ist entscheidend, um potenzielle Angriffe zu verhindern.
