[English]Das Sicherheitsupdate KB5002427 für Outlook 2016 vom 11. Juli 2023 (sowie die Click-2-Run-Aktualisierungen von Office vom gleichen Datum) verursachen einen unangenehmen Bug. Möchte der Nutzer Links in Outlook 2016 öffnen, blendet das Programm einen Sicherheitshinweis ein. Die Links funktionieren schlicht nicht mehr. Die mir bisher bekannte Lösung lautet, dass Update KB5002427 (oder die letzte Office 365-Build) zu deinstallieren. Ergänzung: Microsoft hat einen Workaround publiziert.
Outlook 2016 Update KB5002427
Das Update KB5002427 wurde am 11. Juli 2023 für Outlook 2016 freigegeben und soll die beiden nachfolgenden Sicherheitslücken beseitigen.
- CVE-2023-33151: Microsoft Outlook Spoofing-Schwachstelle; CVS3.1 Index 5.7; Klickt der Nutzer auf einen präparierten Link mit einer URL könnte ein Angreifer Informationen (z.B. NetNTLMv2 Hashes) vom System abgreifen. Selbst ein Angriff über das Vorschaufenster in Outlook erscheint möglich, wenn der Nutzer mitspielt.
- CVE-2023-35311: Microsoft Outlook Security Feature Bypass-Schwachstelle; CVS3.1 Index 8.2; Klickt der Nutzer auf einen Link zu einer speziell gestalteten URL, könnte ein Angreifer den Sicherheitshinweis von Microsoft Outlook umgehen. Selbst ein Angriff über das Vorschaufenster in Outlook erscheint möglich, wenn der Nutzer mitspielt.
Das für MSI-Installationen von Microsoft Office 2016 per Windows Update ausgerollte Update KB5002427 ist im Blog-Beitrag Microsoft Office Updates (11. Juli 2023) erwähnt. Microsoft hat aber auch für die Click-2-Run-Installationen verschiedener Office-Versionen einen Fix ausgerollt. Diese sind in den verlinkten CVE-Seiten aufgelistet.
Ich habe hier das Update KB5002427 für Outlook 2016 aufgeführt, weil ich die ersten Hinweise dazu bekam. Das Problem betrifft auch Click-2-Run-Installationen, wenn diese über Office auf die aktuelle Build gehoben wurden. Nur dokumentierte ich diese Updates hier im Blog nicht durchgängig.
Probleme mit Links
Die Sicherheitskorrektur bewirkt aber, dass sich Links in Microsoft Outlook nicht mehr öffnen lassen. Zum Blog-Beitrag Microsoft Office Updates (11. Juli 2023) erreichte mich ein Kommentar von Björn:
KB5002427 sorgt dafür, dass beim Versuch, Links in Outlook zu öffnen, ein Sicherheitshinweis kommt. Vertrauenswürdige Speicherorte, die man via GPO in Office hinzugefügt hat, bringen keine Abhilfe und unter Outlook selbst gibt es diese Möglichkeit gar nicht.
RobertB hatte sich im Diskussionsbereich des Blogs mit einem ähnlichen Kommentar gemeldet – den ich mal herausziehe (da ich die Kommentare im Diskussionsbereich sporadisch lösche):
Outlook Pop-Up Fenster
Seit dem Office Update erscheint beim Anklicken eines Links in einer E-Mail (in unserem Fall eine interne Datei auf dem File-Server) ein Pop-Up Fenster. Überschrift: „Sicherheitshinweis für Microsoft Outlook“ und im Text: „Microsoft Office hat ein potenzielles Sicherheitsrisiko erkannt. Dieser Speicherort ist möglicherweise nicht sicher.“
Habe noch nix dazu gefunden.
Auf Mastodon meldete sich Nightfighter, der ebenfalls unter dem Update leidet, mit folgendem Kommentar:
Hat noch jemand seit den letzten Outlook Updates Probleme beim Öffnen von Links im Outlook? Outlook meldet plötzlich, dass eine Richtlinie das Öffnen verhindert.
Und Blog-Leser Stefan ergänzt in diesem Kommentar, dass das Problem noch weitergehender sei und schreibt dazu:
Wenn’s denn nur Sicherheitshinweise wären. Bei links die auf Dateien auf Netzlaufwerken(dfs) zeigen kommt eine Fehlermeldung (unerwarteter Fehler file:///\\ …) und es passiert nichts weiter. Lokale Dateien führen zu eine Sicherheitsmeldung genau wie „externe“ Verlinkungen… – nach Deinstallation von KB5002427 funktioniert alles.
Ich habe in nachfolgendem reddit.com-Thread einen ähnlichen Eintrag gelesen. Björn hatte in seinem Kommentar auf den Diskussions-Thread Outlook Hyperlinks – Not Working auf reddit.com verlinkt, wo ein Betroffener das Gleiche berichtet.
This morning we have started to see issues to accessing links within emails. Our current setup is as follows –
Our sharepoint drives are mapped as a folder structure using WebDav. Script designed to run each day check the drives exist and are still mapped or map the drives if they dont exist to the locations of both Work Drive & Personal OneDrive. (Yes OneDrive i know – they dont like change).
When users send out email reports they tend to add a link to that location of the file thats mapped (Webdav) within the email so it can be opened and viewed.
As of this morning links no longer work and we are presented with the following error –
Die Beobachtung wird von anderen Nutzern bestätigt. Ein weiterer reddit.com-Thread UNC Paths in Outlook Now Showing Security Notice bestätigt diesen Bug inzwischen auch für Outlook2016 (Version 2306 Build 16.0.16529.20164) 64-Bit (Click-2-Run-Variante)
Deinstallation des Updates hilft
Es gibt zwar von Microsoft Beiträge wie Enable or disable hyperlink warning messages in Office programs oder Hyperlinks are not working in Outlook (beide mit Revisionsstand März 2023). Ob die Hinweise helfen oder ob der Registrierungseintrag, der hier für ältere Office-Versionen erwähnt wird, die Warnung unterdrückt, können Betroffene ja testen.
Die mir bisher einzige bekannte Lösung, die mit Sicherheit funktioniert, besteht darin, das Sicherheitsupdate KB5002427 zu deinstallieren. Bei den Click-2-Run-Varianten bleibt nur das Zurückrollen auf die vorherige Office-Build, damit Links in Outlook wieder funktionieren.
Ergänzung: In nachfolgenden Kommentaren sind ja Registrierungseinträge, die die Meldung unterdrücken können, beschrieben. Im englischen Blog ist noch dieser Kommentar von Mike eingetroffen, der ebenfalls einen Fix beschreibt, den der betreffende Administrator in seiner Umgebung erfolgreich umgesetzt hat.
We have run into the same problem with several of our Outlook clients, from Outlook 365, 2019, 2016, 2013, etc.
One of our colleagues found a solution on purpose: Outlook doesn’t seem to recognize the network share path as part of the local network and blocks the hyperlink as not trusted. For us the solution was to add the share name manually so to say as a „trusted website“ under Control Panel\Internet Options\Security\Local Intranet\Sites\Advanced
Afterwards the hyperlinks should work again, they did in our case.You can add the website also with GPo under „User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page“ and give it the value 1
Ergänzung: Microsoft hat einen Workaround publiziert, siehe mein neuer Blog-Beitrag Outlook blockt Hyperlinks nach Juli 2023 Update; Workaround von Microsoft vom 25. Juli 2023.
Ähnliche Artikel:
Microsoft Security Update Summary (11. Juli 2023)
Patchday: Windows 10-Updates (11. Juli 2023)
Patchday: Windows 11/Server 2022-Updates (11. Juli 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (11. Juli 2023)
Microsoft Office Updates (11. Juli 2023)
Microsoft: Patchday-Nachlese Juli 2023
Office und Windows HTML RCE-Schwachstelle CVE-2023-36884 erlaubt Systemübernahme
Windows: Weiterhin Malware in Kernel-Treibern ladbar (RedDriver-Angriff)
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Für Businessnutzer, die das für die Verlinkung auf interne Dateien, Sharepoint etc. nutzen natürlich blöd.
Für private Nutzer dagegen sehr gut, so wird effektiv Phishing über Links in Mails verhindert.
Sollte Standard sein und sich nur per GPO abschalten lassen.
Er werden nur UNC Netzwerkpfad blockiert, Links ins Web funktionieren problemlos. Das nützt privaten Nutzern leider wenig.
Das ist ja echt blöd.
Umgekehrt wäre es besser: Links ins Internet sollten blockiert werden.
Ja das ist saublöd von Microsoft. Ich habe das auch bemerkt und leider auch viele meiner Kollegen. Wäre schon schön wenn wir so etwas vorher erfahren könnten. ich hoffe die korrigieren das.
Es funktioniert nur wenn man den echten Pfad angibt und nicht den DFS aber der normale Anwender kennt natürlich die tatsächlichen Server nicht.
Bei uns Office 2019 Version 2306 Build 16529.20182 c2r funktioniert es bisher ohne Probleme. Sicherheitsabfrage ist neu.
Links ins Netz geht, Link auf internen File Server geht.
Vielen Dank für das aufnehmen des Problems in einen extra Beitrag.
Wir nutzen Office 2021 LTSC und bekommen dort leider den Sicherheitshinweis.
Haben hier im Unternehmen aktuell Mischbetrieb aus Office 2016 Standard und Office 365 (überwiegend Build 16.0.16130.20586).
Uns sind bis jetzt keine Meldungen über nicht funktionierende Links untergekommen. Die User melden uns immer fleißig, wenn was nicht läuft ;-)
Vielleicht spuckt noch eine weitere Komponente rein?
Wir setzen bei uns noch Office 2016 (MSI) 32-Bit-Edition ein und haben ebenfalls KB5002427 installiert.
Bei uns hat bisher noch niemand etwas bemerkt, denn Links ins Web funktionieren nach wie vor ohne eine Warnung.
Beim aufrufen eines UNC Pfad (nutzen kein DFS) aus Outlook heraus kommt die Sicherheitsabfrage aber.
Ist wie gesagt noch niemanden aufgefallen, denn das kommt bei uns eher selten vor, einen UNC Pfad aus einer E-Mail heraus zu nutzen.
Hier (Office 2019 C2R, Professional sowie H&B) kommt seit diesem Update ebenfalls der Sicherheitshinweis beim Anklicken von Links zu Dokumenten auf internen Netzlaufwerken — und nervt einige Nutzer enorm. Immerhin: die Links funktionieren, sie sind nicht kaputt.
Hier keine Probleme mit 2016. Pfade auf Laufwerke oder UNC-Pfade in Mails nutzt hier aber auch keiner.
Das Problem tritt bei uns nur auf, wenn der UNC-Pfad als FQDN angesteuert wird. Ohne Domäne geht es problemlos.
Unter Systemsteuerung, Internetoptionen, Sicherheit, Vertrauenswürdige Sites kann man den FQDN erfassen, danach geht es bei uns (file://*.domain.local)
Die Aussage von Phil kann ich sowohl in der Fehlersymptomatik bestätigen, als auch hinsichtlich des Lösungsansatzes.
file:///\\*\Laufwerkname\* erzeugt eine Sicherheitsabfrage, funktioniert aber nach Bestätigung dieser.
file:///\\*.domäne.zz\* erzeugt einen Fail ohne Fehlermeldung. Mit dem von Phil beschriebenen Eintrag als „Vertrauenswürdige Site“ wird der Domänenpfad aber nach Bestätigung der oben beschriebenen Sicherheitsabfrage akzeptiert.
Jetzt bleibt nur noch, diesen Fix für alle User auszurollen…
Konfuzius sagte einmal: „wer MS Software freiwillig nutzt, der setzt sich auch wiederholt mit nacktem Poppes auf die heiße Herdplatte und wundert sich, dass es hintenrum immer mal wieder weh tut.“ :-)
Unter „HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\common\security“ gibt es die Policy „disablehyperlinkwarning“. Den DWORD einfach auf „1“ setzen und die Meldung verschwindet.
Danke für den Tipp, aber leider bringt das – zumindest bei mir und meinen Clients – nüschd :)
Habe ich befürchtet.
Hmm, interessant. Bei uns habe ich das extra ausprobiert und es funktionierte. Möglicherweise eine Wechselwirkung mit einer anderen Richtlinie?! Um das auszutüfteln, fehlt mir aber leider momentan die Zeit …
Bei uns funktioniert es im direkten Pfad, nicht unter den Policies:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\Security
Danach öffnet die andere Meldung wieder, ob man Öffnen/Speichern oder Abbrechen will.
Bei uns hat es funktioniert, der Sicherheitshinweis ist nicht mehr da. Wir müssen aber noch über die Risiken und Nebenwirkungen des Eintrags nachdenken, bevor wir ihn per GPO verteilen.
moin Günter. Im ersten Absatz meinst Du bei „Die mir bisher bekannte Lösung lautet, dass Update KB5002427 (oder die letzte Office 365-Build) zu installieren.“ sicherlich DEinstallieren am Ende des Satzes. Ich war etwas irrtiert, als ich auf der Hauptseite nur den Eyecatcher las :-)
Ist korrigiert – danke.
Die Lösung gibt es auch schon für andere (Pseudo)-Protokolle , zB. oneNote:
https://learn.microsoft.com/en-US/microsoft-365/troubleshoot/administration/enable-disable-hyperlink-warning
HKCU\Software\Policies\Microsoft\Office\16.0\Common\Security\Trusted Protocols\All Applications\file:
Man kann dieses Problem im Endpoint Manager global beheben, wenn man bei den Administrative Vorlagen die Konfigruationseinstellung „Intranetsites: Alle Netzwerkpfade (UNCs) einbeziehen“ den Netzwerkpfad hinzufügt:
file:///\\yourdomain.local oder file:\\*yourdomain.local
und mit dem Wert 1 versehen
Habe gerade einen Verweis auf den Folgebeitrag am Artikelende nachgetragen – haben wir wohl parallel gepostet.
Der Workaround funktioniert hier nicht:
– Outlook 2016 auf Server 2016 (RDS)
– Sites in der Intranet-Zone (Internetoptionen):
– file://*.intranet.firma.org
– file://srv-file
– In Outlook angeklickte Links:
– \\srv-file.intranet.firma.org\Daten\test.xlsx
– \\srv-file\Daten\test.xlsx
In beiden Fällen erscheint die Warnung trotzdem. Habe ich was falsch gemacht?
Ist es nur bei uns so, oder ruft das KB5002459 vom 08.08.2023 wieder den gleichen Fehler in Outlook 2016 hevor, wie das Update KB5002427 von 11.07.2023. Links in eMails funktionieren nicht.
Eine Deinstallation des Updates hat wieder Abhilfe geschaffen.
Das Problem scheint mit den September Office Updates behoben. Kann das noch jemand bestätigen?
@Stephan Beyerle
Bestätigt. Bei uns und allen Clients funktioniert es wieder ohne Probleme und ohne eine Einstellung durch die Interne IT. Ich denke das letzte Update hat dies behoben.
Version 2307 – Microsoft 365 Apps for Enterprise – Monatlicher Enterprise-Kanal
Hallo,
das Problem besteht weiterhin auch unter 2309 16827.20130 current channel, wenn das Ziel ein DFS-share ist.
Kennt jemand eine Lösung dafür?
Kann das jemand mit dem Fix durch das September Update für Outlook/Office 2016
Hallo, bei Office 2016 Pro haben die letzten Office Updates im September nicht geholfen.
Wir haben jetzt im Unternehmen eine GPO aktiviert die Linkwarnungen unterdrückt.
Benutzerkonfiguration/Admin. Vorlagen/Microsoft Office 216/Sicherheitseinstellungen
Linkwarnungen unterdrücken -> aktiviert
Wir erwägen
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Common\Security\Trusted Protocols\All Applications mit „file:“ das entsprechende Protokoll freizugeben. Das sollte eigebntlich weniger tiefgreifend sein alls disablehyperlink per registry oder
Benutzerkonfiguration/Admin. Vorlagen/Microsoft Office 216/Sicherheitseinstellungen
Linkwarnungen unterdrücken
oder übersehe ich hier eine eigenschaft der o.g. gpo trusted protocols:
https://learn.microsoft.com/en-us/microsoft-365/troubleshoot/administration/enable-disable-hyperlink-warning
Moin, für alle die noch Probleme auf einem RDS Server haben.
Auf dem RDS Server hat es bei uns nur mit diesem Eintrag in der Registery geklappt:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Security
Im rechten Bereich führen Sie jetzt einen Rechtsklick aus und erstellen über „Neu“ und „DWORD-Wert 32“ einen neuen Eintrag. Als Namen tippen Sie „DisableHyperlinkWarning“ ein und bestätigen mit der Eingabetaste und dann den Wert 1 hinterlegen.
Funktioniert sofort. Muss glaube ich pro Benutzer gesetzt werden.
Bei mir tritt das Problem nur auf, wenn ich in Outlook 21 zB. eine Worddatei öffne und dort auf einen Link klicke. Sobald ich die Datei abgespeichert und die Bearbeitung aktiviert habe (darauf wird auf einem Balken hingewiesen), funktionieren die Links normal.