Beitrag aus SmartTools Outlook Weekly
News: Kritisches Sicherheitsupdate Februar 2024 für alle aktuellen Outlook-Versionen
Outlook 365 2021 2019 2016 2013 2010 2007
Im Rahmen der Februar 2024-Updates hat Microsoft eine kritische Sicherheitslücke in allen Outlook-Versionen dokumentiert, die extrem einfach auszunutzen ist und die offensichtlich schon seit Jahren existiert. Mit den neuesten Sicherheitsupdates wird das Problem für Outlook 365, 2021, 2019 und 2016 behoben. Die Versionen 2013, 2010 und 2007 sind ebenfalls betroffen, aber der erweiterte Support ist ausgelaufen und Microsoft veröffentlicht keine Updates mehr. Sofern Sie eine aktuelle Outlook-Version nutzen, bringen Sie sie am besten schnellstmöglich auf den neuesten Stand. Als Anwender einer älteren Version, sollten Sie sich zumindest mit dem Sicherheitsproblem beschäftigen und ein Outlook-Update in Erwägung ziehen.
Also worum geht es? Wie immer dokumentiert Microsoft die Sicherheitslücke sehr minimalistisch:
Sicherheitslücke 21413 in Outlook 365, 2021, 2019, 2016, 2013, 2010 und 2007
Von den Sicherheitsexperten der Firma CheckPoint Research, die das Problem entdeckt und an Microsoft gemeldet haben, gibt es allerdings eine sehr ausführliche Dokumentation, die man sich nicht unbedingt komplett durchlesen muss, um die Sicherheitslücke zu verstehen. Kurz gesagt geht es darum, dass sich die normale Sicherheitsabfrage in Outlook beim Anklicken eines Links komplett umgehen lässt, indem man einfach ein Ausrufezeichen in den entsprechenden Hyperlink integriert. Ohne Vorwarnung kann das einfache Anklicken eines Links wie "Weitere Informationen" oder "Jetzt Sonderangebot sichern" zum Download einer schädlichen Datei führen, die dann zum Beispiel im Hintergrund in Word geöffnet und Makroviren ausführen kann. Word und andere Office-Anwendungen sollten dieses Problem durch die geschützte Ansicht verhindern, aber durch den manipulierten Hyperlink wird auch diese Sicherheitsmaßnahme umgangen!
Die Sicherheitsupdates für Office 2021, 2019 und 365 werden im Rahmen der Click-To-Run-Installationen automatisch heruntergeladen. In Outlook 2016 benötigen Sie aber gleich 5 Office-Updates, um die Lücke zu schließen: