Der renommierte Sicherheitsforscher Vsevolod Kokorin hat eine Schwachstelle entdeckt, die es Angreifern ermöglicht, Microsoft-E-Mail-Adressen zu spoofen und damit glaubwürdige Phishing-Angriffe auf Microsoft-Kunden zu starten.
Outlook-Konten im Visier
Die Schwachstelle betrifft konkret E-Mails, die an Outlook-Konten gesendet werden. Outlook ist ein E-Mail-Dienst mit über 400 Millionen Nutzern weltweit – entsprechend können Angreifer so potenziell Millionen von gefälschten E-Mails versenden, die den Empfängern als vertrauenswürdig erscheinen.
Microsoft hat das Problem inzwischen erkannt
Kokorin meldete den Fehler an Microsoft. Er habe das Unternehmen schon vor Monaten über seinen Fund informiert, erklärte er gegenüber Techcrunch. Der Technologiegigant erklärte jedoch zunächst, das Problem nicht reproduzieren zu können. Schließlich veröffentlichte der Sicherheitsforscher Informationen über seine Entdeckung auf X (früher Twitter).
Die technischen Details der Schwachstelle wurden aus Sicherheitsgründen nicht veröffentlicht, um einen möglichen Missbrauch zu verhindern. Kokorin betonte, dass er nicht aus finanziellen Motiven gehandelt habe, sondern vielmehr Unternehmen dazu bringen wolle, Sicherheitsforscher ernst zu nehmen und besser mit ihnen zusammenzuarbeiten.
Ob jemand anderes als Kokorin die Sicherheitslücke ebenfalls entdeckt hat und möglicherweise bereits aktiv ausnutzt, ist nicht bekannt.
Nachdem Microsoft zunächst nicht auf eine Bitte Kokorins um Stellungnahme reagiert hatte, scheint Microsoft aber inzwischen reagiert zu haben. Am Dienstagabend erklärte der Forscher auf X, der Konzern habe das Problem inzwischen erkannt. “Sie haben sich auch einige meiner älteren Berichte über E-Mails angesehen”, schreibt er weiter. Wann das Spoofing-Problem behoben sein wird, bleibt aber unklar.
Die Schwachstelle ist reproduzierbar
Das NoSpamProxy-Security-Team hat die Sicherheitslücke analysiert und konnte das von Kokorin beschriebene Resultat reproduzieren. Wir sehen ebenfalls von einer Veröffentlichung ab, weil das Risiko erheblich ist und schwerwiegende Folgen nach sich ziehen könnte.
Ebenfalls war es uns auch problemlos möglich andere per DMARC-Richtlinie geschützte Domain zu spoofen, darunter web.de sowie auch unsere eigene Domain nospamproxy.com. Nach aktuellem Stand gehen wir davon aus, dass im Grunde alle externen Domains zu fälschen sind.
Da wir nicht sicher sind, ob es sich um die gleiche Schwachstelle handelt, haben wir ebenfalls eine Meldung mit unseren Erkenntnissen an Microsoft weitergeleitet.
Zweistufige Sicherheitskonzepte schützen
Fehler können natürlich passieren. Fälle wie dieser zeigen allerdings auch, dass zweistufige Sicherheitskonzepte immer den bestmöglichen Schutz bieten: Eine Kombination aus Microsoft 365 und NoSpamProxy als Mail Gateway hätte das Problem von vornherein gelöst, denn die Auswertung des Header-From der E-Mail erkennt falsche Absender und weist die entsprechenden E-Mails ab oder blockiert diese. Kunden von NoSpamProxy sind also vor dieser Schwachstelle geschützt.
Noch kein NoSpamProxy im Einsatz?
Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an!