Microsoft, Şubat ayında doğrulanan ve Outlook Masaüstü için Aralık güvenlik güncelleştirmelerini yükledikten sonra yanlış güvenlik uyarılarının tetiklenmesine yol açan bilinen bir Outlook sorununu nihayet düzeltti.
Şirket, birçok Microsoft 365 kullanıcısının ICS takvim dosyalarına çift tıkladıklarında “Bu konum güvenli olmayabilir” ve “Microsoft Office olası bir güvenlik sorunu tespit etti” şeklinde beklenmedik uyarılar gördüklerini bildirmesinin ardından Şubat ayı başında hatayı kabul etti.
Uyarılar hatalı olarak etiketlendi ve Outlook güvenlik güncelleştirmelerinden kaynaklanıyor. Bu güncelleştirmeler, saldırganların kötü amaçlı olarak hazırlanmış dosyaları kullanarak NTLM karmalarını çalmasına olanak tanıyan bir bilgi ifşa güvenlik açığını (CVE-2023-35636) düzeltiyor.
Çalınan NTLM karma değerleri daha sonra Windows sistemlerinde karma değeri geçiş saldırıları gerçekleştirmek, hassas verilere erişmek veya ağ içinde yatay hareket etmek için kullanılabilir.
Redmond sorunu Nisan ayının başlarında düzeltti ancak Beta Kanalındaki Office Insider’lara gönderdikten sonra geri aldı. Microsoft, “Outlook Ekibi, Insider kanallarında test edilirken düzeltmede sorunlar buldu” dedi.
Ancak şirket, pazartesi günü aynı destek belgesine yaptığı yeni güncellemede, bilinen sorunun nihayet 9 Temmuz’daki Outlook Masaüstü genel güncellemesinde düzeltildiğini duyurdu.
Microsoft tarafından önerilen ve güvenlik bildirimini devre dışı bırakacak kayıt defteri anahtarları eklemeyi gerektiren bir geçici çözümü uygulayan müşterilerin, hatanın giderildiğinden emin olmak için yamalı Outlook sürümlerini yüklemeden önce bu geçici çözümü geri almaları önerilir.
Redmond, “Aşağıdaki kayıt defteri anahtarlarını güvenlik bildirimini geçici olarak devre dışı bırakacak şekilde ayarlarsanız, bunları kaldırmayı deneyebilir ve en son düzeltmenin sorunu çözdüğünü doğrulayabilirsiniz” şeklinde açıklama yaptı.
“Kayıt defteri anahtarını kullanmaya karar verirseniz, bunun yalnızca .ICS dosyaları için değil, tüm dosya türleri için güvenlik bildirimi istemlerini durduracağını lütfen unutmayın.”
Microsoft, geçtiğimiz ay Outlook kişisel e-posta hesapları için temel kimlik doğrulamayı 16 Eylül itibarıyla kullanımdan kaldıracağını duyurmuştu.
Bir ay önce, Microsoft 365 kullanıcılarının Outlook Masaüstü istemcisini kullanarak şifrelenmiş e-postalara yanıt vermesini engelleyen bir hataya yönelik geçici bir düzeltme paylaşılmıştı.
