Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer erheblichen Sicherheitslücke in Outlook (Meldung CSW-Nr. 2023-214328-1032 bzw. CVE-2023-23397; CVSS-Score 9.1). Nähere Informationen finden Sie unter https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-214328-1032.pdf?__blob=publicationFile&v=3.
Demnach könnten Angreifende eine manipulierte E-Mail nutzen, um Zugriff auf die Zugangsdaten des Angegriffenen zu erhalten. Die Attacke erfolgt bereits bei der Verarbeitung der E-Mail – eine Aktion durch den Empfänger ist nicht notwendig, was diese Sicherheitslücke besonders gefährlich macht.
Betroffen sind alle Outlook-Versionen für Windows. Weitere Informationen können dem Blogpost auf der Webseite des Herstellers entnommen werden [MSRC2023b].
Microsoft hat für diese Sicherheitslücke bereits einen Patch herausgebracht, der nun umgehend installiert werden muss. Im Rahmen unserer Servicevereinbarungen führen wir die notwendigen Updates nun schnellstmöglich auf den von uns betreuten Systemen durch, soweit dies zentral möglich ist.
Die Sicherheitslücke betrifft jedoch vor allem die Clientsysteme bzw. die dort installierte MS-Office Software. Diese sollte sich eigentlich automatisch aktualisieren. Zur Sicherheit empfehlen wir Ihnen, die Updates von Office-Software auf Ihren Computer-Arbeitsplätzen zusätzlich manuell auszulösen. Eine Anleitung dazu finden Sie im Anhang. Bitte informieren Sie Ihre AnwenderInnen entsprechend.
Für andere, nicht durch uns betreute Systeme empfehlen wir Ihnen, schnellstmöglich eine Versorgung mit den entsprechenden Updates sicherzustellen.
Für Rückfragen stehen wir Ihnen wie immer gerne zur Verfügung.