Outlook-Sicherheitslücke: Microsoft meldet 3 Hacker-Angriffe im Februar 2024

Über die Sicherheitslücke CVE-2024-21413 in Microsoft Outlook berichteten wir bereits in unserem vorherigen News-Beitrag. Kurz nach diesem Vorfall vermeldete Microsoft zwei weitere Hacker-Angriffe im Februar. Zum einen handelte es sich um eine kritische Schwachstelle beim Outlook Exchange-Server, die als Zero-Day ausgenutzt wurde. Zum anderen ging es um einen Windows-Defender-Bug, bei dem die bereits bekannte kriminelle Gruppierung „Water Hydra Group“ einen Trojaner einschleusen konnte.

Am 14.02. informierte Microsoft in einem Sicherheitshinweis darüber, dass eine kritische Schwachstelle in Exchange Server für einen großangelegten Zero-Day-Angriff ausgenutzt wurde. Die Sicherheitslücke trägt den Namen CVE-2024-21410 und wurde im Rahmen des Patch Tuesday im Februar behoben.

Die Schwachstelle ermöglichte es den Angreifern, ein Netzwerkgerät unter Kontrolle zu bringen und sich so gegenüber einem NTLM-Relay-Server als berechtigter Benutzer zu authentifizieren. So bestand die Möglichkeit, die Rechte zu erweitern und im Namen des Opfers Operationen auf dem Exchange-Server durchzuführen.

Offizielle Meldung von Microsoft: CVE-2024-21410 – Leitfaden für Sicherheitsupdates – Microsoft – Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Rechteerweiterungen

Die Water Hydra Group nutzte eine eigentlich bereits im November 2023 gepatchte Microsoft-Sicherheitslücke (CVE-2023-36025) aus, bei der Windows-Sicherheitsabfragen beim Öffnen von URL-Dateien umgangen werden konnten. Die Schwachstelle wurde damals ausgenutzt, um die Malware Phemedrone zu installieren, die Informationen von Anwendern stehlen sollte.

Diese Zero-Day-Lücke diente der Water Hydra Group nun erneut, um Angriffe auf Finanzmarktakteure auszuführen, die mit hohen Einsätzen am Devisenmarkt handeln. Das Ziel war es, Daten zu stehlen bzw. Ransomware zu einem späteren Zeitpunkt einzusetzen.

Die Hacker der Water Hydra Group nutzten bereits in der Vergangenheit Zero-Day-Schwachstellen aus, z. B. bei der Software WinRAR, die über 500 Millionen Anwender verzeichnet. Die Cyberkriminellen versuchten, mit dieser Aktion Handelskonten zu kompromittieren.

Offizielle Meldung von Microsoft: CVE-2023-36025 – Leitfaden für Sicherheitsupdates – Microsoft – Sicherheitsanfälligkeit in Windows SmartScreen bezüglich Umgehung von Sicherheitsfunktionen

Microsoft Software, insbesondere der E-Mail-Dienst Outlook, ist ein beliebtes Ziel für Cyberkriminelle, da das Office-Paket von einem Großteil der Privatpersonen und Unternehmen weltweit genutzt wird. Damit einher geht die Erwartung vieler Menschen, dass Produkte, die von Microsoft hergestellt werden, automatisch über ein hohes Sicherheitslevel verfügen müssen. Dies ist allerdings nur bedingt wahr.

Zwar sind die Sicherheitsvorkehrungen von Microsoft keineswegs mangelhaft, jedoch ist das Unternehmen z. B. kein ausgewiesener E-Mail-Security-Experte, sondern Allrounder in vielen Bereichen. So schützt die in Outlook integrierte Anti-Spam-Software EOP (Exchange Online Protection) Nutzer vor einem Großteil der Bedrohungen wie Phishing, Mal- und Ransomware. Jedoch benötigen insbesondere Unternehmen einen weitreichenderen Schutz für Ihre E-Mail-Kommunikation, um sich angemessen vor Cyber-Angriffen und Datendiebstahl abzusichern.

Hier sehen Sie drei Beispiele für Risiken, die Sie beim Einsatz von Microsoft Outlook kennen sollten.

Microsoft wirbt mit einer Spam-Erkennungsrate von 99 % für den E-Mail-Sicherheitsdienst EOP. Spezialisierte E-Mail-Security-Lösung erreichen hingegen Spitzenwerte von bis zu über 99,99 %. Ein deutlicher Unterschied, wenn man die tägliche E-Mail-Flut in Unternehmen berücksichtigt.

Microsoft gewährleistet in den deutschen Nutzungsbedingungen lediglich die Abwehr von deutsch- oder englischsprachigem Spam.

Bei Zero-Day-Angriffen handelt es sich um neuartigen Spam, der zum Zeitpunkt des Angriffs nicht identifiziert werden kann – zumindest nicht von herkömmlicher Anti-Spam-Software wie Microsoft EOP. Dementsprechend hoch ist die Gefahr (noch) unbekannter Viren, welche die interne IT von Unternehmen schnell vor eine Zerreißprobe stellen können.