|
SAN CARLOS, Kalifornien, USA – 6. Dezember 2023 -- Check Point Research (CPR), die Threat-Intelligence-Abteilung von Check Point® Software Technologies Ltd.(NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat eine detaillierte Analyse der Desktop-Anwendung Microsoft Outlook, verknüpft mit dem Microsoft Exchange Server, veröffentlicht, welche einen tiefen Einblick in Angriffs-Vektoren ermöglicht. Untersucht wurde insbesondere die Version 2021 unter Windows mit den Updates ab November 2023. Die Analyse, die in Werkseinstellungen und in einer typischen Unternehmensumgebung durchgeführt wurde, zeigt unter Berücksichtigung des typischen Benutzerverhaltens, wie Klicken und Doppelklicken, drei Haupt-angriffswege : Hyperlinks, Anhänge und fortgeschrittene Angriffe (welche das Lesen von E-Mails und speziellen Objekten beinhalten). Sich dieser gängigen Methoden der Hacker bewusst zu sein, ist entscheidend für das Verständnis und die Minderung von Schwachstellen in der E-Mail-Kommunikation.
- Hyperlinks
Bei diesem einfachen, aber wirkungsvollen Angriff werden E-Mails mit betrügerischen Hyperlinks versendet. Sie leiten zu Phishing-Seiten, können Browser-Schwachstellen ausnutzen, oder sogar komplizierte Zero-Day-Attacken auslösen. Das Risiko liegt in erster Linie im verwendeten Browser, nicht in Outlook. Den Benutzern wird empfohlen, robuste Browser zu verwenden und vor Phishing-Seiten auf der Hut zu sein.
- E-Mail-Anhänge
Diese Methode macht sich die gängige Praxis des Öffnens von E-Mail-Anhängen zunutze. Die Gefahrenstärke hängt von der Anwendung ab, die unter Windows mit dem Dateityp des Anhangs verknüpft ist. Nach einem Doppelklick öffnet Outlook die Datei automatisch mit dem vorgesehen Windows-Programm. Outlook blockiert zwar erkannte (!), als unsicher markierte Dateitypen und fordert bei unklassifizierten Typen eine Bestätigung, die zwei Klicks benötigt, doch Benutzer sollten bei Anhängen aus unbekannten Quellen sehr vorsichtig sein, ob sie wirklich den Knopf “Öffnen” drücken.
- Fortgeschrittene Methoden
CPR hat zwei Angriffsvektoren identifiziert, die über die gängigen Methoden hinausgehen:
- Lesen von E-Mails: Der als „Vorschaufenster" bekannte Angriff ist dann gefährlich, wenn Benutzer ihre E-Mails in Outlook lesen. Die Bedrohung entsteht durch die Verarbeitung verschiedener E-Mail-Formate, wie HTML und TNEF. Es wird daher empfohlen, Outlook so zu konfigurieren, dass E-Mails nur als einfacher Text angezeigt werden, da Bilder und Links somit nicht angezeigt werden, was zwar die Benutzerfreundlichkeit beeinträchtigen mag, aber die Sicherheit erhöht.
- Spezielle Objekte: Dieser Vektor nutzt spezifische Zero-Day-Schwachstellen in Outlook aus, wie etwa CVE-2023-23397. Hacker können Outlook missbrauchen, indem sie eine verseuchtes “Erinnerung”-Objekt schicken, wobei der Angriff durch einfaches Öffnen von Outlook und Herstellen einer Verbindung zum E-Mail-Server erfolgt. Wichtig dabei zu erwähen, ist: Der Nutzer muss diese E-Mail nicht mal lesen, um den Angriff auszulösen. Das untermauert die kritische Bedeutung von rechtzeitiger Installation von Updates und vorsichtiger Nutzung.
Diese Ergebnisse beweisen die Notwendigkeit eines mehrschichtigen Ansatzes für die Sicherheit von Outlook, der die Wachsamkeit der Benutzer, Software-Updates und umfassende Sicherheitsmaßnahmen erfordert. Der Fokus auf eine typische Unternehmensumgebung und die Berücksichtigung des üblichen Benutzerverhaltens erhöhen die Relevanz dieser Ergebnisse und bieten eine realistische Perspektive auf die Sicherheit von E-Mail-Plattformen in Unternehmensumgebungen. Es gilt für Nutzer wie IT-Teams, stets wachsam zu sein und Sicherheitsmaßnahmen der IT-Bedrohungslandschaft anzupassen.
Eine umfangreiche technische Analyse der Angriffsvektoren finden Sie hier:https://research.checkpoint.com/2023/the-obvious-the-normal-and-the-advanced-a-comprehensive-analysis-of-outlook-attack-vectors/
Alle Berichte von Check Point finden Sie unter: https://blog.checkpoint.com/
Alle Berichte des Check Point Research Teams finden Sie unter:https://research.checkpoint.com/
Folgen Sie Check Point Research über:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Folgen Sie Check Point über:
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
Über Check Point Research
Check Point Research stellt Check Point Software-Kunden und der gesamten Geheimdienst-Community führende Erkenntnisse über Cyber-Bedrohungen zur Verfügung. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die in der ThreatCloud gespeichert sind, um Hacker in Schach zu halten und gleichzeitig sicherzustellen, dass alle Check Point-Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, Strafverfolgungsbehörden und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cybersicherheitslösungen für Unternehmen und Behörden weltweit. Das Lösungsportfolio von Check Point Infinity schützt Unternehmen und öffentliche Einrichtungen vor Cyberangriffen der fünften Generation mit einer branchenführenden Abfangrate von Malware, Ransomware und anderen Bedrohungen. Infinity besteht aus vier Kernsäulen, die kompromisslose Sicherheit und Bedrohungsabwehr in Unternehmensumgebungen bieten: Check Point Harmony für Remote-Benutzer, Check Point CloudGuard für die automatische Absicherung von Clouds und Check Point Quantum für den Schutz von Netzwerkperimetern und Rechenzentren, die alle durch das branchenweit umfassendste, intuitivste Unified-Security-Management gesteuert werden: Check Point Horizon, eine Security-Operations-Suite, die auf Prävention setzt. Check Point schützt über 100.000 Unternehmen aller Größenordnungen.
|
