Hallo Heise, bitte das hier mal untersuchen, da könnte eine große Sache dahinter stecken. Vielleicht eine russische Bärenfalle. Es geht hier möglicherweise darum über Outlook/Exchange-Autodiscover Zugangsdaten abzugreifen. Oder Phishing.
Vergleichbarer Fall, was Outlook betrifft : https://www.heise.de/news/Autodiscover-Exchange-Protokoll-leakt-Windows-Anmeldedaten-ins-oeffentliche-Netz-6199548.html?wt_mc=nl.red.ho.ho-nl-daily.2021-09-24.ansprache.ansprache
Durch Fehler bei Exchange-Migration oder was auch immer kommt es wohl vor, dass Outlook-Clients bei Autodiscover die tld verdoppeln, und das scheinen sich wohl Hacker zu Nutze zu machen, in dem sie die Domains
de.de
com.com
ua.ua
und weitere nach gleichem Muster registriert haben. Die de.de ist erst seit dem 24.6.24 (wieder) aktiv, und es ist ein Catch-Them-All-DNS dafür aufgesetzt, der auf alle Subdomains und Hostnamen damit immer die selbe IP(s) liefert, und da kann man so merkwürdige Spielchen damit treiben:
nslookup telekom.de.de 8.8.8.8
Server: dns.google
Address: 8.8.8.8
Nicht autorisierende Antwort:
Name: telekom.de.de
Address: 80.92.67.155nslookup microsoft.com.com 8.8.8.8
Server: dns.google
Address: 8.8.8.8
Nicht autorisierende Antwort:
Name: microsoft.com.com
Addresses: 2606:4700:20::681a:594
2606:4700:20::ac43:48da
2606:4700:20::681a:494
104.26.5.148
104.26.4.148
172.67.72.218nslookup bundeskanzler.ua.ua 8.8.8.8
Server: dns.google
Address: 8.8.8.8
Nicht autorisierende Antwort:
Name: bundeskanzler.ua.ua
Address: 216.218.215.28Ob man das mit telekom, microsoft, bundeskanzler oder was auch immer macht, ist völlig egal, das Ergebnis ist immer gleich.
de.de steht bei einem Luxenburger Provider, com.com bei GoDaddy/Cloudflare und ua.ua steht tatsächlich in Kiew, das lässt sich jeweils über 1-3 whoisabfragen (domain, IP-Adresse, zuständigher DNS-Server) ermitteln. Und es gibt scheinbar noch mehr solche Doppellungen, habe ich aber aus Zeitgründen nicht näher getestet. Es funktioniert aber auch nicht mit jeder Länderdomain, ru.ru, cn.cn, it.it, fr.fr usw. liefern keine solchen Ergebnisse.
Wenn jetzt z.B. Outlook seinen Autodiscover macht, landet es mitunter dort und gibt seine Zugangsdaten preis. Diese gedoppelten Domains lassen sich auch prima für Phishing und alles mögliche nutzen.
Siehe auch: https://www.borncity.com/blog/2024/07/03/outlook-zu-exchange-autoermittlung-und-die-doppelte-de-de-domain/