Sicherheitslücke in Outlook lässt Hacker Schadsoftware per Mail verteilen - Microsoft liefert Patch
Microsoft Windows, das Betriebssystem, das Millionen von Computern antreibt, ist von einer neuen, kritischen Sicherheitslücke bedroht. CVE-2025-21298, so die nüchterne Kennung dieser Schwachstelle, lauert im Herzen der Windows Object Linking and Embedding (OLE) Funktion, einer Technologie, die es ermöglicht, Dokumente und andere Objekte nahtlos in Anwendungen einzubinden. Doch hinter dieser technischen Fassade verbirgt sich eine Gefahr: Bereits der flüchtige Blick in den Posteingang von Outlook oder das unbedachte Öffnen einer E-Mail-Vorschau, kann genügen, um die digitale Tür für ungebetene Gäste zu öffnen.
Die Schwachstelle, eine sogenannte "Use After Free"-Lücke, erlaubt es Angreifern, die Kontrolle über den Computer des Opfers zu übernehmen. Dabei macht sich der Angreifer eine Schwachstelle im Speichermanagement zunutze. Damit versucht das Programm, auf einen Speicherbereich zuzugreifen, der längst freigegeben wurde. Dieses unerwartete Verhalten öffnet Angreifern Tür und Tor, um Schadcode auf dem System zu installieren.
Die Folgen eines erfolgreichen Angriffs können verheerend sein: Von Datendiebstahl über Spionage bis hin zur vollständigen Verschlüsselung des Systems durch Ransomware ist alles denkbar. Betroffen sind verschiedene Versionen von Windows 10, Windows 11 und Windows Server – ein breites Spektrum an Systemen, das die Dimension der Bedrohung verdeutlicht. Die Sicherheitslücke hat einen CVSSv3-Score von 9,8 von 10, was sie als "kritisch" einstuft. Microsoft gibt jedoch an, bislang keine Ausnutzung der Schwachstelle beobachtet zu haben.
Microsoft hat Sicherheitsupdates veröffentlicht, um die Lücke zu schließen. Es wird dringend empfohlen, diese Updates so schnell wie möglich zu installieren. Bis die Updates installiert sind, sollten Nutzer E-Mails als Nur-Text anzeigen und in großen LAN-Netzwerken den NTLM-Traffic einschränken oder NTLM ganz deaktivieren. Microsoft Outlook so zu konfigurieren, dass E-Mails im Nur-Text-Format angezeigt werden, verhindert die Ausnutzung der Sicherheitslücke durch das Anzeigen von Rich-Text-Inhalten.
Quelle(n)
BSI: Microsoft Windows: Kritische Schwachstelle in Windows OLE (PDF)
BSI warnt Windows-Nutzer: Schadsoftware landet ohne Nutzer-Einwirkung auf Geräten - CHIP
Microsoft Security Update Summary (14. Januar 2025)Borns IT- und Windows-Blog
CVE-2025-21298 - Security Update Guide - Microsoft - Windows OLE Remote Code Execution Vulnerability