Microsoft verhoogt de beveiliging van Outlook door vanaf juli extra bestandstypes te blokkeren

Het gaat om .library-ms en .search-ms, die beide recent zijn misbruikt in geavanceerde phishingcampagnes. Deze aanpassing maakt deel uit van Microsofts voortdurende inzet om e-mailverkeer veiliger te maken voor gebruikers van Exchange Online.

De blokkade gebeurt via de zogeheten OwaMailboxPolicy-lijst, waarmee organisaties kunnen beheren welke bestandstypes zijn toegestaan in Outlook Web Access (OWA). De beslissing volgt op ernstige beveiligingsrisico’s: .library-ms-bestanden bleken in staat om via een kwetsbaarheid in Windows (CVE-2025-24054) NTLM-hashes te onderscheppen. Deze hashes kunnen worden gebruikt om gebruikersaccounts te compromitteren. In februari werd door een beveiligingspartij melding gemaakt van een actieve exploit waarbij na een eerste infectie ook aanvullende malware werd geïnstalleerd op systemen van slachtoffers.

Ook het .search-ms-bestandstype vormt al langere tijd een risico. Via dit URI-protocol kunnen aanvallers Windows Search-vensters openen op apparaten van slachtoffers, vaak zonder dat de gebruiker een bewuste handeling uitvoert. Deze methode werd al sinds medio 2022 ingezet, vaak in combinatie met de inmiddels beruchte MSDT-kwetsbaarheid (CVE-2022-30190), ook bekend als Follina, waarmee op afstand kwaadaardige code kon worden uitgevoerd.

Volgens Microsoft is de impact van deze maatregel beperkt. Beide bestandstypes worden zelden gebruikt in legitieme zakelijke workflows. Organisaties die wel afhankelijk zijn van deze extensies kunnen ze eventueel toevoegen aan de AllowedFileTypes-eigenschap binnen hun eigen OwaMailboxPolicy, om zo problemen te voorkomen vóór de update actief wordt.

Bedrijven die gebruikmaken van Microsoft Exchange Server kunnen in overleg met hun IT-beheerder uitzonderingen instellen. Als alternatief kunnen bestanden ook op andere manieren worden gedeeld, bijvoorbeeld via archieven, andere extensies of cloudplatforms zoals OneDrive en SharePoint.

Deze stap past in een bredere strategie waarbij Microsoft het aanvalsvlak van Office-systemen systematisch verkleint. Eerder werd al de Antimalware Scan Interface (AMSI) uitgerold naar alle Office 365-applicaties, een technologie die verdachte scripts en macro’s realtime kan analyseren. Daarna volgde het standaard uitschakelen van VBA-macro’s, het blokkeren van verouderde Excel 4.0 macro’s, en het weren van niet-vertrouwde XLL-add-ins in Microsoft 365-omgevingen.

Daarnaast zijn er structurele aanpassingen aangekondigd aan de onderliggende architectuur van Windows en Office. In mei 2024 liet Microsoft weten te zullen stoppen met VBScript, en vanaf april 2025 worden alle ActiveX-controls uitgeschakeld in Microsoft 365 en Office 2024, om het risico op misbruik verder te verkleinen.

Outlook-gebruikers mogen de komende jaren dus meer van dit soort gerichte beveiligingsmaatregelen verwachten, in een voortdurende poging om cybercriminelen een stap voor te blijven.

Door: Drifter