Bei Microsoft wird der zweite Dienstag im Monat traditionell »Patch Tuesday« genannt. An diesem Tag veröffentlicht das Unternehmen Updates, mit denen in der Zwischenzeit erkannte Sicherheitslücken geschlossen werden, Patches eben. So auch am Dienstag dieser Woche, an dem das Unternehmen insgesamt 80 Sicherheitsupdates  veröffentlicht hat. Eine davon hat es besonders in sich, die Lücke mit der Identifikationsnummer CVE-2023-23397 . Sie hat einen Schweregrad mit dem Wert 9,8 von 10, wird also als »kritisch« eingestuft – und wurde laut Microsoft aktiv ausgenutzt.

Der Grund dafür ist naheliegend: Der Angriff funktioniert vollkommen ohne Nutzerinteraktion. Das Opfer muss also nicht auf einen maliziösen Link klicken, wie es bei Attacken per E-Mail oft der Fall ist. Nicht einmal eine Vorschau der fraglichen E-Mail muss in Outlook angezeigt werden. Vielmehr reicht es schon aus, wenn der Mail-Server die Nachricht entgegennimmt.

Wie das Cybersicherheits-Blog »Krebs on Security « erklärt, handelt es sich um einen sogenannten NTLM-Relay-Angriff, der es dem Angreifer ermöglicht, sich dem Server gegenüber als vertrauenswürdige Person auszugeben, ohne dass man dafür das Passwort eines echten Nutzers benötigen würde. Das sei vergleichbar »mit einem Angreifer, der ein gültiges Passwort besitzt und Zugang zu den Systemen eines Unternehmens hat«, zitiert das Blog den IT-Sicherheitsexperten Kevin Breen. Einmal im System eingeloggt, versuchen die Angreifer dann, sich weiter vorzuarbeiten.

Nicht alle Outlook-Versionen sind betroffen

Von der Schwachstelle sind einem Microsoft-Blogeintrag  zufolge alle noch von Microsoft unterstützten Windows-Versionen von Outlook betroffen. Die im Browser laufende Web-Version von Outlook sowie die Outlook-Apps für Android iOS, macOS sowie alle anderen Dienste des Office-Pakets Microsoft 365 seien hingegen immun, weil sie die von den Angreifern ausgenutzte Technik nicht verwenden.

Das Unternehmen hat alle potenziell betroffenen Kunden aufgefordert, ihre Rechner umgehend mit dem angebotenen Patch abzudichten. Zudem bietet es ein Script an, das Administratoren helfen soll, zu erkennen, ob ihre Systeme über die fragliche Sicherheitslücke angegriffen worden sind. Das Script biete auch die Möglichkeit, nach schädlichen Dateien zu suchen und diese »permanent zu löschen«.

Russische Angreifer aktiv

Das Unternehmen schreibt, es gehe davon aus, »dass ein in Russland ansässiger Bedrohungsakteur die in CVE-2023-23397 gepatchte Schwachstelle für gezielte Angriffe auf eine begrenzte Anzahl von Organisationen in den Bereichen Regierung, Transport, Energie und Militär in Europa verwendet hat.«

Laut »Bleeping Computer « soll es sich bei den Angreifern um die dem russischen Militärgeheimdienst GRU nahestehende Hackergruppe APT28 handeln, die auch als Strontium, Sednit, Sofacy und Fancy Bear bezechnet wird. Die Hacker haben die Schwachstelle demnach von April 2022 bis Dezember desselben Jahres genutzt, um sich Zugang zu den Mailsystemen von »weniger als 15« Firmen und Organisationen verschafft zu haben. Aufgedeckt wurde die Schwachstelle vom Computer Emergency Response Team der Ukraine (CERT-UA).

Warnung vor weiteren Attacken

Am Mittwoch erst veröffentlichte Microsoft zudem einen Bericht, in dem es seine Erkenntnisse zu Cyber-Aktivitäten im Umfeld des russischen Angriffskriegs gegen die Ukraine zusammenfasst (PDF) . Darin schreibt das Unternehmen, Moskau habe seine militärischen Ziele auch deshalb »nicht erreicht – weil Moskaus parallele Cyber- und Einflussoperationen weitgehend gescheitert sind.«