Microsoft akhirnya memperbaiki masalah Outlook yang diketahui, dikonfirmasi pada bulan Februari, yang memicu peringatan keamanan yang salah setelah menginstal pembaruan keamanan Desember untuk Outlook Desktop.
Perusahaan diakui bug pada awal Februari setelah banyak pengguna Microsoft 365 dilaporkan melihat peringatan tak terduga bahwa “Lokasi ini mungkin tidak aman” dan “Microsoft Office telah mengidentifikasi potensi masalah keamanan” saat mengklik dua kali file kalender ICS.
Peringatan tersebut ditandai sebagai salah dan disebabkan oleh pembaruan keamanan Outlook. Pembaruan ini menambal kerentanan pengungkapan informasi (CVE-2023-35636) yang memungkinkan penyerang mencuri hash NTLM menggunakan file yang dibuat secara jahat.
Hash NTLM yang dicuri kemudian dapat digunakan untuk melakukan serangan pass-the-hash pada sistem Windows, memperoleh akses ke data sensitif, atau bergerak secara lateral dalam jaringan.
Kota Redmond memperbaiki masalah tersebut pada awal April Tetapi menggulungnya kembali setelah mengirimkannya ke Office Insiders di Beta Channel. “Tim Outlook menemukan masalah dengan perbaikan saat sedang diuji di saluran Insider,” kata Microsoft.
Namun, dalam pembaruan baru untuk dokumen dukungan yang sama Pada hari Senin, perusahaan tersebut mengatakan masalah yang diketahui akhirnya diperbaiki dalam pembaruan publik 9 Juli untuk Outlook Desktop.
Pelanggan yang menerapkan solusi sementara yang direkomendasikan oleh Microsoft—yang mengharuskan mereka menambahkan kunci registri yang akan menonaktifkan pemberitahuan keamanan—disarankan untuk membatalkannya sebelum menginstal versi Outlook yang telah ditambal guna memastikan bug telah diatasi.
“Jika Anda menetapkan kunci registri di bawah ini untuk menonaktifkan sementara pemberitahuan keamanan, Anda dapat menguji penghapusannya dan mengonfirmasi bahwa perbaikan terbaru mengatasi masalah tersebut,” jelas Redmond.
“Jika Anda memutuskan untuk menggunakan kunci registri, perlu diketahui bahwa hal itu akan menghentikan permintaan pemberitahuan keamanan untuk semua jenis file, bukan hanya untuk file .ICS.”
Bulan lalu, Microsoft juga mengumumkan bahwa mereka akan menghentikan otentikasi dasar untuk akun email pribadi Outlook paling lambat tanggal 16 September.
Sebulan sebelumnya, itu berbagi perbaikan sementara untuk bug yang mencegah pengguna Microsoft 365 membalas email terenkripsi menggunakan klien Outlook Desktop.
