Aanvallers hebben maanden actief misbruik gemaakt van een kritieke path traversal-kwetsbaarheid in Output Messenger voor spionagedoeleinden, zo laat Microsoft weten. De ontwikkelaars hebben inmiddels een update voor het probleem uitgebracht. Output Messenger is een communicatieplatform dat gebruikers laat chatten, bellen, kalenders en to-do-lijsten maken, verlofregistratie regelen en bestanden uitwisselen.

Organisaties kunnen het platform op een eigen on-premise server hosten. Via de kritieke path traversal-kwetsbaarheid kunnen aanvallers toegang tot de communicatie van elke gebruiker krijgen, gevoelige data stelen en zich als gebruikers voordoen voor verdere aanvallen, aldus Microsoft. Bij path traversal krijgt een aanvaller door het aanpassen van gebruikersinvoer toegang tot directories en bestanden waar hij eigenlijk geen toegang toe zou moeten hebben. De impact van de kwetsbaarheid (CVE-2025-27920) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Om misbruik van het beveiligingslek te maken moet een aanvaller wel over inloggegevens van een gebruiker beschikken. Hoe de aanvallers deze inloggegevens hebben verkregen is onbekend. Microsoft merkt op dat de verantwoordelijke aanvallers in het verleden bij andere aanvallen gebruik hebben gemaakt van DNS hijacking en typosquatting domeinen om inloggegevens te stelen. Via het path traversal-lek plaatsen de aanvallers een malafide bestand in de opstart directory van de server. Daarnaast wordt er een backdoor geïnstalleerd.

Volgens Microsoft hebben aanvallers sinds april 2024 misbruik van het beveiligingslek gemaakt bij aanvallen tegen "Koerdische militaire operaties in Irak". De verantwoordelijke groep, die Microsoft Marbled Dust noemt, is een aan Turkije gelieerde spionagegroep, zo laat het techbedrijf verder weten. De ontwikkelaars van Output Messenger kwamen op 25 december met een beveiligingsupdate voor het probleem.