Vanaf juli worden twee nieuwe bestandstypes in Microsoft Outlook geweerd. De .library-ms- en .search-ms-extensies zijn beide een teken van nieuwe phishingcampagnes.
Microsoft gaat de .library-ms en .search-ms bestandstypes blokkeren in de zogeheten OwaMailboxPolicy-lijst. De library-bestanden konden een Windows-kwetsbaarheid (CVE-2025-24054) uitbuiten om NTLM-hashes te stelen. Een voorbeeld van een exploit gericht op library-ms werd in februari door Symantec (Broadcom) gemeld. Hierbij konden organisaties na een infectie tevens getroffen worden door allerlei andere malware.
De .search-ms URI protocol handler is echter al sinds juni 2022 misbruikt in aanvallen. Deze bestanden kunnen automatisch Windows Search-vensters openen op apparaten van slachtoffers. De techniek werkte vaak samen met een Windows Support Diagnostic Tool (MSDT)-kwetsbaarheid (CVE-2022-30190) om code op afstand uit te voeren.
Beperkte impact voor organisaties
Volgens Microsoft zijn deze bestandstypes zelden gebruikt, waardoor de meeste organisaties niet worden getroffen. Voor organisaties die nog steeds afhankelijk zijn van deze bestanden, bestaat de mogelijkheid om ze toe te voegen aan de AllowedFileTypes eigenschap van hun OwaMailboxPolicy voordat de update wordt uitgerold.
Bedrijfsgebruikers met een Microsoft Exchange Server-account kunnen hun administrators vragen om beveiligingsinstellingen aan te passen. Dit is mogelijk als bestanden niet als archief kunnen worden gedeeld, een andere extensie kunnen gebruiken, of via OneDrive of SharePoint kunnen worden uitgewisseld.
Voortdurend veiliger
Microsoft probeert Outlook voortdurend veiliger te maken. Sinds 2018 heeft het bedrijf de met Windows 10 geïntroduceerde Antimalware Scan Interface (AMSI) uitgebreid naar alle Office 365-applicaties. Phishing-aanvallen worden steeds geavanceerder, wat het dichten van steeds meer lekken nodig maakt. AMSI binnen Outlook was op dit vlak al een grote stap in de goede richting.
Later begon Microsoft met het standaard blokkeren van VBA Office-macro’s en het uitschakelen van Excel 4.0 (XLM) macro’s. Ook introduceerde het bedrijf XLM-macrobescherming en begon het standaard onbetrouwbare XLL add-ins te blokkeren binnen Microsoft 365-tenants. In mei 2024 kondigde Microsoft aan VBScript te zullen stopzetten en in april 2025 alle ActiveX-controls uit te schakelen in Windows-versies van Microsoft 365 en Office 2024.