Microsoft hat endlich ein bekanntes, im Februar bestätigtes Outlook-Problem behoben, das nach der Installation der Dezember-Sicherheitsupdates für Outlook Desktop falsche Sicherheitswarnungen auslöste.
Das Unternehmen bestätigte den Fehler Anfang Februar, nachdem viele Microsoft 365-Nutzer berichteten, dass sie beim Doppelklick auf ICS-Kalenderdateien unerwartete Warnungen wie "Dieser Ort ist möglicherweise unsicher" und "Microsoft Office hat ein potenzielles Sicherheitsproblem festgestellt" erhielten.
Die Warnungen wurden als fehlerhaft gekennzeichnet und werden durch die Outlook-Sicherheitsupdates verursacht. Diese Updates beheben eine Sicherheitsanfälligkeit für die Offenlegung von Informationen (CVE-2023-35636), die es Angreifern ermöglicht, NTLM-Hashes mithilfe böswillig gestalteter Dateien zu stehlen.
Die gestohlenen NTLM-Hashes können dann verwendet werden, um Pass-the-Hash-Angriffe auf Windows-Systeme auszuführen, Zugriff auf sensible Daten zu erhalten oder sich innerhalb des Netzwerks zu bewegen.
Redmond hat das Problem Anfang April behoben, es aber nach der Auslieferung an Office Insider im Beta-Kanal wieder zurückgenommen. "Das Outlook-Team fand Probleme mit dem Fix, während er in den Insider-Kanälen getestet wurde", so Microsoft.
In einem neuen Update desselben Support-Dokuments am Montag teilte das Unternehmen jedoch mit, dass das bekannte Problem mit dem öffentlichen Update vom 9. Juli für Outlook Desktop endlich behoben wurde.
Kunden, die eine von Microsoft empfohlene Problemumgehung angewendet haben, bei der sie Registrierungsschlüssel hinzufügen mussten, um den Sicherheitshinweis zu deaktivieren, wird empfohlen, dies rückgängig zu machen, bevor sie die gepatchten Outlook-Builds installieren, um sicherzustellen, dass der Fehler behoben wurde.
"Wenn Sie die folgenden Registrierungsschlüssel festlegen, um den Sicherheitshinweis vorübergehend zu deaktivieren, können Sie testen, ob sie entfernt werden können und bestätigen, dass der neueste Fix das Problem behebt", erklärt Redmond.
"Wenn Sie sich für die Verwendung des Registrierungsschlüssels entscheiden, beachten Sie bitte, dass er die Sicherheitshinweise für alle Dateitypen und nicht nur für die ICS-Dateien unterbindet.
Letzten Monat kündigte Microsoft außerdem an, dass es die Basisauthentifizierung für persönliche Outlook-E-Mail-Konten bis zum 16. September abschaffen wird.
Einen Monat zuvor hatte das Unternehmen eine vorübergehende Lösung für einen Fehler veröffentlicht, der Microsoft 365-Nutzer daran hinderte, verschlüsselte E-Mails über den Outlook Desktop-Client zu beantworten.
