Kritischer Microsoft Outlook RCE-Fehler wird aktiv in Angriffen ausgenutzt

Das Cybersecurity-Unternehmen Check Point hat eine kritische Remote Code Execution (RCE)-Schwachstelle in Microsoft Outlook entdeckt, die derzeit in aktiven Cyberangriffen ausgenutzt wird und eine erhebliche Bedrohung für Organisationen weltweit darstellt.

Dies hat die Cybersecurity and Infrastructure Security Agency (CISA) dazu veranlasst, die US-Bundesbehörden zu warnen, ihre Systeme gegen solche laufenden Angriffe abzusichern.

Der Schwachstellenforscher von Check Point, Haifei Li, entdeckte die hochgradige RCE-Schwachstelle, die als CVE-2024–21413 verfolgt wird (CVSS-Score 9.8).

Dieser Fehler resultiert aus unzureichender Eingangsvalidierung, die die Ausführung von Code auslösen kann, wenn E-Mails mit bösartigen Links in einer verwundbaren Microsoft Outlook-Version geöffnet werden.

Die erfolgreiche Ausnutzung dieser Schwachstelle würde es einem Bedrohungsakteur ermöglichen, die geschützte Ansicht von Office zu umgehen und bösartige Dateien im Bearbeitungsmodus anstelle des geschützten Modus zu öffnen.

Es könnte dem Bedrohungsakteur auch erhöhte Berechtigungen gewähren, einschließlich der Fähigkeit, Daten zu lesen, zu schreiben und zu löschen.

Microsoft hat die CVE-2024–21413-Schwachstelle vor einem Jahr behoben und gewarnt, dass das Vorschaufenster selbst ein Angriffsvektor sein könnte.

Daher könnte es bereits ausreichen, eine bösartige E-Mail innerhalb von Outlook anzuzeigen, um die Ausnutzung auszulösen, was es äußerst gefährlich macht.

Laut Check Point nutzen Angreifer die als Moniker Link bezeichnete Schwachstelle aus, eine Methode, die Outlook dazu bringt, unsichere Dateien zu öffnen.

Dies ermöglicht es den Bedrohungsakteuren, die integrierten Outlook-Schutzmaßnahmen für bösartige Links, die in E-Mails eingebettet sind, unter Verwendung des file://-Protokolls zu umgehen.

Die Angreifer können Outlook manipulieren, um bösartige Dateien als vertrauenswürdige Ressourcen zu behandeln, indem sie ein Ausrufezeichen gefolgt von beliebigem Text an eine Datei-URL anhängen.

Indem sie dieses Ausrufezeichen unmittelbar nach der Dateierweiterung in URLs, die auf von Angreifern kontrollierte Server verweisen, zusammen mit etwas zufälligem Text einfügen, können sie das System täuschen und bösartige Payloads ausführen.

Ein Angreifer könnte beispielsweise einen Link wie unten gezeigt erstellen:

KLICKEN SIE HIER

Wenn ein Opfer auf den Link klickt, ruft Outlook die Datei vom Server des Angreifers ab und führt sie mit erhöhten Rechten aus, wodurch der Angreifer die Kontrolle über das System erhält.

Die CVE-2024-21413-Schwachstelle hat mehrere Microsoft Office-Produkte betroffen, darunter Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016 und Microsoft Office 2019.

Als Reaktion auf die aktive Ausnutzung dieser Schwachstelle hat CISA die CVE-2024-21413 in ihr Verzeichnis der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen.

Gemäß der Binding Operational Directive (BOD) 22-01 vom November 2021 haben die Bundesbehörden bis zum 27. Februar 2025 Zeit, ihre Systeme zu patchen und ihre Netzwerke gegen potenzielle Bedrohungen abzusichern.

„Diese Arten von Schwachstellen sind häufige Angriffsvektoren für bösartige Cyberakteure und stellen erhebliche Risiken für das Bundesunternehmen dar“, warnte die Cybersecurity-Agentur am Donnerstag.

Mit der aktiven Ausnutzung in der Wildnis stellt die CVE-2024-21413 ein erhebliches Sicherheitsrisiko für Outlook-Nutzer dar.

Daher wird privaten Organisationen geraten, sofort Patches anzuwenden und die Cybersicherheitsmaßnahmen zu verstärken, um potenzielle Sicherheitsverletzungen zu verhindern.