In einer aktuellen Warnung appelliert Microsoft an alle Nutzer seines E-Mail-Dienstes Outlook, ihre Software umgehend zu aktualisieren. Diese dringliche Aufforderung folgt auf die Beobachtung, dass eine mit einem Nationalstaat verbundene Bedrohungsgruppe aktiv eine bekannte Schwachstelle ausnutzt, um Exchange-Nutzer zu attackieren.
Erst kürzlich gelang es Microsoft, einen der größten DDoS-Angriffe in der Geschichte abzuwehren. Doch nun steht das Unternehmen erneut im Fokus: Die berüchtigte Hackergruppe „Anonymous Sudan“ legte die Outlook-Dienste von Microsoft letzten Monat lahm. Diese Gruppe, die vermutlich mit dem russischen Staat in Verbindung steht, hat Microsoft dieses Jahr bereits mehrfach ins Visier genommen.
Die Schwachstelle, die momentan ausgenutzt wird, und deren Umgehungsmöglichkeit, sind bereits seit Monaten bekannt und es stehen entsprechende Patches zur Verfügung. Dennoch werden sie weiterhin genutzt, um in Systeme einzudringen – ein deutliches Zeichen für die Wichtigkeit, Sicherheitsupdates zu installieren.
Aktive Ausnutzung einer Outlook-Schwachstelle
Laut einem Sicherheitsblogbeitrag von Microsoft wird die Schwachstelle CVE-2023-23397 von der Gruppe „Forest Blizzard“, die ihren Ursprung in Russland hat, aktiv ausgenutzt, um heimlich und unbefugt auf E-Mail-Konten innerhalb von Exchange-Servern zuzugreifen.
Microsoft zufolge zielt der Angreifer primär auf Organisationen aus den Bereichen Regierung, Energie und Transport, sowie auf einige Unternehmen und Einrichtungen in den USA, Europa und dem Nahen Osten ab, die nicht direkt staatlichen Regierungen angehören. Derzeit arbeitet das Unternehmen mit der polnischen Cyberkommando-Division zusammen, um gegen die Angreifer vorzugehen.
Hacker nutzen bereits gepatchte Schwachstelle
Microsoft hatte diesen Fehler (CVE-2023-23397) ursprünglich bereits im März 2023 gepatcht, nachdem er als Zero-Day-Schwachstelle identifiziert wurde, die seit April 2022 aktiv ausgenutzt wurde. Im Mai 2023 wurde jedoch ein Bypass (CVE-2023-29324) entdeckt, der Microsoft zwang, einen weiteren Patch zu veröffentlichen.
Leider nutzen Hacker weiterhin beide Schwachstellen, um sensible Informationen von Outlook-Servern zu stehlen, da nicht alle Unternehmen und Organisationen die notwendigen Updates installiert haben.
Microsofts Rat: Jetzt aktualisieren
Neben dem aktuellen Update darüber, wie diese Schwachstelle von Hackern genutzt wird, um Organisationen im Nahen Osten, Europa und den Vereinigten Staaten anzugreifen, betonte Microsoft auch eine Reihe von Sicherheitsmaßnahmen, die Unternehmen zur Selbstverteidigung implementieren sollten.
Der wichtigste Rat ist, sicherzustellen, dass die neuesten Sicherheitsupdates für Microsoft Outlook angewendet werden. Dies gilt unabhängig davon, wo Ihre Mail gehostet wird, sei es Exchange Online, Exchange Server oder eine andere Plattform.
Zusätzlich gibt es ein Skript, das Sie ausführen können, um zu überprüfen, ob die Server Ihres Unternehmens Ziel eines dieser Angriffe waren. Stellen Sie fest, dass Mitglieder Ihrer Organisation angegriffen wurden, setzen Sie die Passwörter aller betroffenen Konten zurück.
Microsoft rät Unternehmen außerdem, wo immer möglich, die Multi-Faktor-Authentifizierung zu implementieren. Die vollständige Liste der empfohlenen Sicherheitsmaßnahmen finden Sie im oben erwähnten Blogbeitrag.