Microsoft Windows: Kritische Schwachstelle in Windows OLE

Am 14. Januar 2025 hat Microsoft eine kritische Schwachstelle in Windows OLE veröffentlicht. Die Schwachstelle betrifft die Technologie Object Linking and Embedding (OLE), die es ermöglicht, Objekte und Dokumente miteinander zu verknüpfen. Diese Funktion wird unter anderem in Microsoft-Office-Produkten wie Outlook verwendet. Ein erfolgreicher Angriff erfordert lediglich, dass ein Nutzer eine präparierte E-Mail in der Vorschau von Microsoft Outlook öffnet. Es ist keine aktive Interaktion erforderlich, wodurch die Schwachstelle besonders gefährlich ist. Derzeit gibt es zwar keine bekannten Ausnutzungen, jedoch stuft Microsoft die Wahrscheinlichkeit künftiger Angriffe als hoch ein.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt dringend, folgende Maßnahmen zu ergreifen, um das Risiko zu minimieren:

1. Sicherheitsupdates einspielen
   IT-Sicherheitsverantwortliche sollten die Patches für die Schwachstelle stark priorisiert einspielen.
2. Workaround aktivieren
   Falls das Einspielen der Updates verzögert wird, sollte Microsoft Outlook so konfiguriert werden, dass E-Mails per Voreinstellung nur noch im Nur-Text-Format gelesen werden:
   • Navigieren Sie zu Datei -> Optionen -> Trust Center -> Einstellungen für das Trust Center -> E-Mail-Sicherheit.
   • Aktivieren Sie die Optionen „Standardnachrichten im Nur-Text-Format lesen“ und „Digital signierte Nachrichten im Nur-Text-Format lesen„.
   • Alternativ können Gruppenrichtlinien verwendet werden, um die Nur-Text-Ansicht global zu erzwingen.
3. Nutzersensibilisierung
   Aufklärung und Hinweise für Nutzer, die Nur-Text-Ansicht zu nutzen und keine Änderungen an den Anzeigeformaten vorzunehmen, können Angriffsrisiken weiter senken.

Das Anwenden der genannten Einstellung führt dazu, dass E-Mails ohne Bilder, besondere Schriftarten oder Animationen angezeigt werden. In E-Mails enthaltene Bilder werden zu Anhängen.

Das BSI hat ein Dokument mit detaillierten Anweisungen zur sicheren Konfiguration von Microsoft Outlook  veröffentlicht. Die Umsetzung dieser Empfehlungen kann auch zukünftige Schwachstellen adressieren.