Es gehört zu den zentralen Ratschlägen im Hinblick auf IT-Sicherheit: Updates sollten immer so schnell wie möglich eingespielt werden – vor allem, wenn sie sicherheitsrelevant sind. Doch nicht jede Sicherheitslücke ist gleich gefährlich. Nun schließt Microsoft einen Softwarefehler, der es besonders in sich hat – und der auch zeigt, dass selbst ein vollständig aktuelles System nie perfekt geschützt sein kann.

Fancy Bear schlägt zu

Im Rahmen des aktuellen Patch-Days bereinigt Microsoft – unter anderem – eine kritische Sicherheitslücke in Outlook, die zuvor bereits fast ein Jahr lang von staatlichen Hackern für gezielte Attacken verwendet worden ist. Die dem russischen Militärgeheimdienst GRU unterstellte Hackertruppe Fancy Bear (auch: APT28 oder Strontium) soll auf diesem Weg zwischen April und Dezember 2022 in die Netzwerke von bis zu 15 Regierungen, Militäreinrichtungen sowie Unternehmen aus dem Energie- und Verkehrsbereich eingedrungen sein.

Gemeldet wurde die Lücke vom ukrainischen Computer Emergency Response Team (Cert UA), was natürlich keinen Zufall darstellt – sind die Aktivitäten von Fancy Bear und Co doch ein wichtiger Teil des Angriffskrieges gegen die Ukraine.

Offen wie ein Scheunentor

Ein näherer Blick auf die Lücke (CVE-2023-23397) erklärt auch schnell, wieso sie bei den Angreifern so beliebt war – erfordert sie doch einzig, dass die Zielperson Outlook für Windows nutzt, sonst nichts. Während solche Attacken sonst oft voraussetzen, dass das Opfer auf einen Link oder einen Anhang klickt, muss in diesem Fall die betreffende Mail nicht einmal betrachtet werden. Der Einbruch wird schon beim Empfang der Nachricht automatisch ausgelöst.

Konkret richtet sich die Attacke gegen NTLM und damit Microsofts Authentifizierungsverfahren für seine Rechnernetze. Durch den Bug konnten die Angreifer die zur Absicherung verwendeten Hashes abgreifen, um damit dann falsche Systeme zu authentifizieren und so weiteren Schadcode auf die betroffenen Systeme einzuschmuggeln.

Schritt für Schritt

Es handelt sich also "nur" um den ersten Schritt für einen Angriff auf ein Computernetzwerk – aber eben um einen sehr einfachen und zuverlässig ausnutzbaren. In dem Fall war es etwa so, dass sich die Angreifer in weiterer Folge im Netzwerk ausgebreitet haben, um dann die gesamte Mailkommunikation ihrer Opfer abzugreifen. Entsprechend darf nicht verwundern, dass die Lücke im zur Gefahrenabschätzung gedachten CVSS-Rating auf einen Wert von 9,8 von 10 maximal erreichbaren Punkten kommt.

Angesichts der bekannten Attacken und der ungewöhnlich einfachen Ausnutzbarkeit der Lücke rät Microsoft seinen Kunden nun zu einem raschen Update. Das gilt übrigens generell für die im Rahmen des aktuellen Patch-Days geschlossenen Lücken – finden sich unter den insgesamt 74 sicherheitsrelevanten Bugs, die mit dem März-Update bereinigt werden, doch gleich neun mit der höchsten Warnstufe "kritisch" versehene Probleme. (Andreas Proschofsky, 16.3.2023)