Patchday Lücke mit 9.8 und BSI-Warnung

– beim Januar 2025 wurde eine besonders kritische Sicherheitslücke, CVE-2025-21298, geschlossen, die alle Windows und Windows Server-Versionen betrifft (damit auch Windows Server 2012 R2, der seit Oktober 2023 nur noch Sicherheitsupdates im ESU-Plan bekommt. Die Lücke ist so kritisch, dass selbst das Bundesamt eine Warnung veröffentlicht hat.

Windows OLE Sicherheitslücke:

Schweregrad: Kritisch (CVEv3 Score 9.8)

Eine gefährliche Schwachstelle wurde in Windows OLE entdeckt. Hacker können diese Lücke ausnutzen, indem sie eine speziell gestaltete E-Mail an ein Ziel senden. Sobald diese E-Mail mit einer anfälligen Version von Microsoft Outlook geöffnet oder in der Vorschau angezeigt wird, kann der Angreifer den Code auf dem Zielsystem ausführen.

Empfehlung: Um sich zu schützen, sollten Sie Microsoft Outlook so konfigurieren, dass E-Mails nur im reinen Textformat gelesen werden.

Da die Lücke bereits aktiv ausgenutzt wird, installieren Sie bitte möglichst schnell die Januar-Patches oder/und konfigurieren alle Outlook-Versionen auf „Nur-Text-Lesen“. Dies kann in den Outlook-Einstellungen oder bei verwalteten Geräten als Gruppenrichtlinie in Intune verteilt werden.

Übrigens: Auch das Versenden von E-Mails im „Nur-Text-Format“ macht prinzipiell den E-Mail-Verkehr sicherer. (ist man selbst infiziert, wird man nicht zur Schadcode-Schleuder). Da die meisten Unternehmen aber Logos und formatierte Texte in E-Mails verwenden, ist das Nur-Text-Versenden keine Alternative mehr. Stellt der Empfänger den Maileingang auf „Nur-Text“, werden die grafischen Formatierungen dort nicht dargestellt, die Sicherheit wird aber erhöht.

Zusammenfassung
  1. Sobald diese E-Mail mit einer anfälligen Version von Microsoft Outlook geöffnet oder in der Vorschau angezeigt wird, kann der Angreifer den Code auf dem Zielsystem ausführen.
  2. #Wichtig - beim #Microsoft Januar 2025 #Patchday wurde eine besonders kritische Sicherheitslücke, CVE-2025-21298, geschlossen, die alle Windows und Windows Server-Versionen betrifft (damit auch Windows Server 2012 R2, der seit Oktober 2023 nur noch Sicherheitsupdates im ESU-Plan bekommt.
  3. Stellt der Empfänger den Maileingang auf "Nur-Text", werden die grafischen Formatierungen dort nicht dargestellt, die Sicherheit wird aber erhöht.
Verwandte Beiträge
Über den Autor:
Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert