Datum der Offenlegung (Quelle): Januar 14, 2025
CVE-2025-21298 ist eine kritische Schwachstelle in der Windows Object Linking and Embedding (OLE)-Technologie. Dieses Problem betrifft eine Vielzahl von Systemen, von Windows Server 2008 bis 2025 und Windows 10/11, und wirkt sich sowohl auf Server-Installationen (einschließlich Server Core) als auch auf Desktop-Konfigurationen aus. Die Gefahr ist besonders groß für Systeme, die RTF-Dateien (Rich Text Format) oder E-Mails über Microsoft Outlook verarbeiten.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige RTF-Datei oder E-Mail mit einer Nutzlast erstellt. Er sendet sie an ein Opfer, das unwissentlich mit der Datei interagiert und den Exploit auslöst, wenn:
- Das Opfer öffnet die RTF-Datei oder E-Mail mit Microsoft Outlook oder einer anderen OLE-kompatiblen Anwendung.
- Die E-Mail wird einfach im Lesebereich von Outlook in der Vorschau angezeigt - kein Klick erforderlich.
Die in dem Dokument oder der E-Mail eingebettete bösartige Nutzlast wird ausgeführt und gibt dem Angreifer die volle Kontrolle über das System des Opfers. Das bedeutet, dass er Daten stehlen, Malware installieren oder seine Rechte erweitern kann, ohne dass das Opfer viel mehr tun muss als einen Blick auf seinen Posteingang zu werfen.
Microsoft Exchange Server oder Microsoft Outlook als eigenständige Anwendungen sind nicht direkt anfällig, da die Schwachstelle in Windows OLE, einem Teil des zugrunde liegenden Betriebssystems, liegt.
Outlook wird jedoch zum Einfallstor, da es die RTF-Dateien oder E-Mails verarbeitet, die als Übermittlungsmechanismus für den Exploit dienen.
Um diese Sicherheitsanfälligkeit abzuschwächen, konfigurieren Sie Microsoft Outlook so, dass E-Mails im reinen Textformat geöffnet werden, um das Rendern von RTF-Dateien zu verhindern, die bösartige OLE-Objekte enthalten können, und vermeiden Sie das Öffnen von RTF-Dateien oder E-Mail-Anhängen aus nicht vertrauenswürdigen Quellen. Eine vollständige Liste der betroffenen Produkte und detaillierte Abhilfemaßnahmen finden Sie unter Microsofts Sicherheitshinweis.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2025-21298 - CVSS 9.8 (kritisch) - zugewiesen von Microsoft |
| Schwachstelle Beschreibung |
In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitslücke ausnutzen, indem er eine speziell gestaltete E-Mail an das Opfer sendet. Zur Ausnutzung der Sicherheitsanfälligkeit könnte entweder ein Opfer eine speziell gestaltete E-Mail mit einer betroffenen Version der Microsoft Outlook-Software öffnen oder die Outlook-Anwendung des Opfers könnte eine Vorschau einer speziell gestalteten E-Mail anzeigen. Dies könnte dazu führen, dass der Angreifer Remotecode auf dem Computer des Opfers ausführt. |
| Datum der Offenlegung |
Januar 14, 2025 |
| Betroffene Vermögenswerte |
Diese Sicherheitslücke betrifft die Windows OLE-Technologie |
| Anfällige Software-Versionen |
Diese Sicherheitslücke betrifft Windows Server-Produkte (2008 bis 2025) und die Betriebssysteme Windows 10/11. Die betroffenen Produkte sind zu umfangreich, um sie hier aufzulisten, aber sie sind in einer Tabelle im Microsofts Sicherheitshinweis. |
| PoC verfügbar? |
Ein PoC-Exploit ist öffentlich verfügbar auf GitHub. Dabei handelt es sich um einen PoC zur Speicherkorruption, nicht um einen Exploit, aber es gibt eine RTF-Datei in diesem Repository, die die Schwachstelle reproduziert. |
| Verwertungsstatus |
Zum Zeitpunkt der Erstellung dieses Artikels war diese Schwachstelle weder in der CISA-Liste der bekannten Sicherheitslücken noch in GreyNoise zu finden. |
| Patch-Status |
Microsoft hat Sicherheitsupdates für jedes der betroffenen Produkte in seinem Sicherheitshinweis. Darüber hinaus wurden spezielle Hinweise zur Schadensbegrenzung für Benutzer von Microsoft Outlook veröffentlicht, die empfehlen, E-Mail-Nachrichten im reinen Textformat zu lesen. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 482,270 ungeschützte Exchange Server und Outlook Web Access Portale. Ein großer Teil davon (25%) sind in Deutschland angesiedelt.
Beachten Sie, dass diese exponierten Server zwar nicht direkt für CVE-2025-21298 anfällig sind - da die Schwachstelle in der Windows OLE-Komponente und nicht in Exchange oder Outlook selbst liegt - dienen sie als Indikatoren für ein potenzielles Risiko. Das Patchen und Absichern von Systemen in diesen Umgebungen ist von entscheidender Bedeutung.
Karte der exponierten Exchange Server- und Outlook Web Access-Portale:
Censys Search Abfrage:
services.software: (vendor = "Microsoft" and (product="Exchange Server" or product="Outlook Web Access")) and not labels: {honeypot, tarpit}
Censys ASM-Abfrage:
host.services.software: (vendor = "Microsoft" and (product="Exchange Server" or product="Outlook Web Access")) or web_entity.instances.software: (vendor = "Microsoft" and (product="Exchange Server" or product="Outlook Web Access")) and not host.labels: {honeypot, tarpit}
Referenzen
