20 JUNI 2024
Phisher können E-Mails im Namen von Microsoft verschicken
Durch die Schwachstelle lassen sich E-Mails beispielsweise mit security@microsoft.com als Absender übermitteln. Phisher erhalten dadurch einen Vertrauensbonus.
Der Sicherheitsforscher Vsevolod Kokorin von Solidlabs hat eine Schwachstelle entdeckt, die es Angreifern ermöglicht, Microsofts E-Mail-Adressen zu spoofen und Outlook-Nutzer damit gezielt zu täuschen. Auf X, wo Kokorin unter dem Nutzernamen Slonser aktiv ist, hat der Forscher schon am vergangenen Freitag vor der Sicherheitslücke gewarnt.
„Ich habe eine Schwachstelle gefunden, die es erlaubt, eine Nachricht von einer beliebigen user@domain zu senden“, schreibt Kokorin dort. Obwohl der Forscher Microsoft ein Demonstrationsvideo mit einem vollständigen PoC (Proof of Concept) übermittelt habe, habe der Konzern den Bericht wiederholt zurückgewiesen und behauptet, er könne den Fehler nicht reproduzieren.
„An diesem Punkt habe ich beschlossen, die Kommunikation mit Microsoft einzustellen“, erklärte Kokorin weiter. Als Nachweis für die Schwachstelle teilte er einen Screenshot von einer Mail, die von Microsofts Security-Abteilung (security@microsoft.com) zu stammen scheint, tatsächlich jedoch gefälscht ist.
Technische Details nannte der Forscher aus Sicherheitsgründen bisher nicht. „Ich möchte nicht, dass meine Technik für illegale Zwecke verwendet wird“, erklärte er am Sonntag auf Rückfrage nach dem PoC. Er denke noch über eine Veröffentlichungsstrategie nach.
Schwachstelle wohl noch immer ausnutzbar
Wie aus einem Bericht von Techcrunch hervorgeht, funktioniert das Spoofing nur beim Mail-Versand an Outlook-Konten, womit jedoch weltweit mehrere Hundert Millionen Nutzer betroffen sind. Angreifer können die Schwachstelle beispielsweise ausnutzen, um Phishing-Mails glaubwürdiger erscheinen zu lassen und Empfänger dazu zu bewegen, einen Link zu einer bösartigen Webseite anzuklicken oder andere riskante Aktionen auszuführen.
„Zum Zeitpunkt der Erstellung dieses Artikels wurde der Fehler noch nicht gepatcht“, heißt es außerdem bei Techcrunch. Auf eine Bitte um Stellungnahme habe Microsoft bisher nicht reagiert. Ob jemand anderes als Kokorin die Sicherheitslücke ebenfalls entdeckt und möglicherweise schon aktiv ausgenutzt hat, ist nicht bekannt.
Gegenüber Kokorin reagierte Microsoft aber inzwischen wohl. Am Dienstagabend erklärte der Forscher auf X, der Konzern habe das Problem nun anerkannt. „Außerdem haben sie sich mit einigen meiner älteren Berichte im Zusammenhang mit E-Mails befasst“, schreibt er weiter. Wann das Spoofing-Problem behoben sein wird, bleibt jedoch weiterhin offen.
Quelle: golem.de