Wirrungen um Lücke: Absender-Fälschung in Outlook
Eine Lücke in Outlook-Konten soll das Fälschen von Absenderadressen ermöglichen – unter Umgehung von Verifizierungsmechanismen wie DMARC.
Microsoft wird unter die Lupe genommen (Symbolbild).
(Bild: IB Photography/Shutterstock.com)
Eine kürzlich in mehreren Medien gemeldete Lücke in Outlook-Konten soll Angreifern ermöglichen, Opfern E-Mails mit gefälschten Absenderadressen unterzujubeln, etwa solchen von Microsoft. Dem Entdecker zufolge lassen sich so Schutzmechanismen wie DKIM und DMARC umgehen, sodass keine Warnungen angezeigt werden. Microsoft könne den Fehler jedoch nicht nachvollziehen.
Gegenüber Techcrunch hat Vsevolod Kokorin, der mit dem Handle Slonser auf X (ehemals Twitter) unterwegs ist, die Lücke demonstriert. Er hat dem Magazin eine gefälschte E-Mail mit vermeintlichem Absender "Microsoft Account Security Team" geschickt, die demzufolge aussah, als stamme sie tatsächlich von dort. Das gelang uns in der Redaktion jedoch auch ohne Ausnutzung etwaiger Fehler einfach durch Manipulation der Mail-Header. Allerdings nutzen die Server unter anderem keine "strict"-Policy für DMARC, die hier für eine Warnung respektive Filterung sorgen könnte.
Gefahr von Phishing-Angriffen
Die Sicherheitslücke ermögliche es Angreifern, Nachrichten zu fälschen, die beispielsweise von Microsoft stammen. Das könne glaubwürdigere Phishing-Mails hervorbringen und potenzielle Opfer mit höherer Wahrscheinlichkeit überlisten. Details zu der Lücke nennt Kokorin nicht. Auch auf Nachfrage von heise online wollte er keine näheren Informationen liefern, da wir die Lücke zum Nachteil anderer missbrauchen können. Er bekräftigte jedoch: "Der Punkt ist, dass die Schwachstelle ermöglicht, eine Mail mit beliebigen Namen an Outlook-Mail schicken und alle Sicherheitsmechanismen wie DMARC zu umgehen".
Kokorin erklärte auf X, Microsoft habe ihm gegenüber angegeben, dass das Unternehmen die Schwachstelle nicht reproduzieren könne. Er habe auch ein Video vom Missbrauch der Lücke geschickt, einen vollständigen Proof-of-Concept. Nachdem Microsoft erneut angegeben hatte, den Fehler nicht reproduzieren zu können, habe der IT-Forscher aufgegeben. Gegenüber Techcrunch ergänzte Kokorin, dass Microsoft möglicherweise auf den Tweet aufmerksam geworden sei, da der vor Monaten geschlossene Fall nun wieder geöffnet wurde. Auf Anfrage von Techcrunch hatte Microsoft jedoch keine Stellung bezogen.
Gegenüber heise online sagte ein Microsoft-Sprecher auf Nachfrage: "Wir untersuchen den Fall und werden nötigenfalls Maßnahmen ergreifen, um Kunden zu schützen".
Am Ende bleibt übrig, dass möglicherweise Schutzmechanismen wie DMARC, DKIM und Ähnliche aufgrund einer Schwachstelle nicht anschlagen. Nutzer von Outlook sowie Office 365 / Microsoft 365 können sich daher auch bei derartigen scharf geschalteten Mechanismen nicht darauf verlassen, dass eingehende Mails echt sind. Sie sollten stets auf der Hut vor Phishing-Angriffen sein.
(dmk)
