Um Cyber-Bedrohungen realistisch einzuschätzen, gehen Cyber-Sicherheitsexperten neuerdings immer öfter den Weg, bei Risikobewertungen den Fokus auf eine typische Unternehmensumgebung zu legen und ein übliches Benutzerverhalten zu simulieren. Die Berücksichtigung solcher Praxisfaktoren erhöht die Relevanz der Ergebnisse und erlaubt eine realitätsnahe Perspektive auf die Sicherheit von Unternehmensumgebungen. So haben unlängst Sicherheitsforscher des Anbieters von Cyber-Sicherheitslösungen Check Point eine detaillierte Analyse zur Desktop-Anwendung von Microsoft Outlook (verknüpft mit dem Microsoft Exchange Server) veröffentlicht.
Die Check-Point-Sicherheitsexperten haben insbesondere die bei Unternehmen beliebte Version 2021 des E-Mail-Programms unter Windows mit den Updates ab November 2023 untersucht. Die Analyse, wurde bewusst mit Werkseinstellungen und in einer typischen Unternehmensumgebung durchgeführt und zeigt unter Berücksichtigung des üblichen Benutzerverhaltens, dass bei bösartigen Hyperlinks, Anhängen oder in der E-Mail-Nachricht hinter Abbildungen verborgenen Bedrohungen noch immer der Faktor Mensch entscheidend für die Abwehr von Phishing-Angriffen ist. Im Falle bösartiger E-Mail-Anhänge blockiert Outlook zwar einige Dateitypen, da sie programmseits als risikobehaftet erkannt werden, bei Dateitypen, die innerhalb der Anwendung nicht klassifiziert werden konnten, fordert Outlook jedoch lediglich eine Bestätigung per Klick, dass der Benutzer den fraglichen Anhang tatsächlich öffnen wolle. Es liegt demnach weiter in der Verantwortung der Mitarbeiter, bei Anhängen aus unbekannten Quellen die angemessene Vorsicht walten zu lassen.
Beinah schon turnusmäßig liest sich die Warnung der Sicherheitsexperten, Outlook vorzugsweise so zu konfigurieren, dass im „Vorschaufenster“ nur der Text von E-Mails angezeigt wird, Bilder und Links jedoch nicht. Bilder und Links in der Vorschau zu blockieren, beeinträchtige zwar die Benutzerfreundlichkeit, erhöhe aber dafür die Sicherheit. Die Bedrohung entsteht durch die Verarbeitung verschiedener E-Mail-Formate, wie HTML und TNEF. Die Experten empfehlen daher, die Mitarbeiter so zu schulen, dass sie blockierte Inhalte wie Bilder und Links erst aktivieren, wenn sie den Text einer E-Mail geprüft haben und danach diese als vertrauenswürdig einstufen. Doch die Sicherheitsexperten machen auch deutlich, dass Hacker Outlook auch ohne Ausnutzung des Faktors Mensch für eine erfolgreiche Attacke missbrauchen können. Um den Angriff auszulösen, muss der Nutzer bei dieser Variante nicht erst eine verseuchte Nachricht aktiv öffnen. Die Cyber-Kriminellen nutzen als infiziertes Objekt eine „Erinnerung“, die sie verschicken. Der „Startschuss“ für den Angriff erfolgt dann, sobald der nichtsahnende Nutzer Outlook startet und eine Verbindung zum E-Mail-Server hergestellt wird. Dieser Vektor, so das Forscherteam von Check Point, nutze dabei unter anderem eine spezifische Zero-Day-Schwachstelle in Outlook (CVE-2023-23397) aus.
