Beitrag aus SmartTools Outlook Weekly
Bug: Passwortklau durch manipulierte Kalendereinladung in Outlook
Outlook 365 2021 2019 2016 2013 2010
Im Dezember hat Microsoft eine als "Wichtig" eingestufte Sicherheitslücke dokumentiert und die Ausnutzung als "wenig wahrscheinlich" angegeben. Wie seit einiger Zeit üblich, gibt es darüber hinaus nur sehr sparsame Informationen über das genaue Sicherheitsproblem. Ganz allgemein wurde nur erwähnt, dass der Anwender dazu gebracht werden muss, einen manipulierten Link anzuklicken und auf diese Weise "Informationen offen gelegt werden können". Mittlerweile liegt eine detaillierte Dokumentation des Bugs durch externe Sicherheitsexperten vor und das Problem ist deutlich kritischer als es zunächst den Anschein hatte. Die Lücke lässt sich durch eine manipulierte Kalendereinladung ausnutzen und in der Folge ist der Diebstahl des Passworts des aktuellen Anwenders möglich.
Da das Anklicken einer Kalendereinladung deutlich wahrscheinlicher ist, als der Aufruf eines Links, sollten alle Outlook-Anwender das entsprechende Sicherheitsupdates schnellst möglich installieren. Alle Click-To-Run-Installationen werden automatisch auf den neuesten Stand gebracht. Die Updates für Outlook 2016 können hier herunterladen werden:
Outlook 2013 und 2010 sind sehr wahrscheinlich ebenfalls betroffen, aber für diese Versionen veröffentlicht Microsoft keine Sicherheitsupdates mehr.
Die Dokumentation des Bugs durch die Sicherheitsexperten von Varonis finden Sie hier.