[English]Die Phishing-Warnung in Microsoft 365 lässt sich austricksen, so dass der Nutzer z.B. bei Microsoft Outlook nicht vor entsprechenden Mails gewarnt wird. Selbst verschlüsselte und signierte Mails sollen sich vortäuschen lassen. Microsoft wird derzeit wohl keine Fixes für diese Schwachstellen veröffentlichen.
Anzeige
Sicherheitsforscher von Certitude haben einige der von Microsoft 365 (ehemals Office 365) eingesetzten Anti-Phishing-Maßnahmen sowie deren Schwachstellen untersucht. Dabei konnte man ein Problem identifizieren, das es böswilligen Akteuren ermöglicht, die Anti-Phishing-Maßnahmen zu umgehen. William Moody von Certitude haben ihre Erkenntnisse im Blog-Beitrag Exploring Anti-Phishing Measures in Microsoft 365 veröffentlicht.
Outlook beim Phishing ausgetrickst
Nutzer von Microsofts Outlook-Client erhalten eine Warnung "Sie erhalten nicht oft E-Mails von xyz@example.com. Erfahren Sie, warum dies wichtig ist", wenn eine E-Mail erstmals von einer externen Adresse eintrifft. Das ist eine von Redmonds Anti-Phishing-Maßnahmen, die in Exchange Online Protection (EOP) und Microsoft Defender für Unternehmen, die Office 365 nutzen, verfügbar sind.
Die Information, dass eine solche Warnung im E-Mail-Client anzeigt werden soll, findet sich in einer Tabelle im HTML-Quellcode der betreffenden E-Mail. Die Sicherheitsforscher zeigen in ihrem Blog-Beitrag, dass es einer simplen CSS-Anweisung bedarf, damit die Inhalt der Tabelle, und damit die Phishing-Warnung, nicht mehr angezeigt wird. Im Blog-Beitrag wird gezeigt, wie die Info als weiße Schrift auf weißem Hintergrund unsichtbar gemacht werden kann.
In einem weiteren Schritt haben die Sicherheitsforscher untersucht, ob sich die Informationen, dass eine E-Mail signiert und verschlüsselt ist, eventuell auch vortäuschen lässt. Mails erhalten so eine höhere Reputation beim Empfänger. Auch hier waren die Sicherheitsforscher in der Lage, die Icons, die bei solchen Mails in Outlook angezeigt werden, mittels HTML- und CSS-Anweisungen im Client einzublenden.
Anzeige
Microsoft sieht keinen Handlungsbedarf
Die Anti-Phishing-Funktionen in Microsoft 365 und Outlook sind in meinen Augen nur "Eye-Candy", die eine Sicherheit vorgaukeln, die nicht vorhanden ist. Ähnlich scheinen auch Microsofts Sicherheitsverantwortliche zu sehen. Denn wenn es nicht nur um Marketing, sondern um eine Reaktion auf Sicherheitsmeldungen geht, sieht die Welt gänzlich anders aus.
Nach der Entwicklung eines Proof of Concept und der Vorbereitung eines Hinweises haben die Sicherheitsforscher William Moody und Wolfgang Ettlinger Microsoft über das Microsoft Researcher Portal (MSRC) auf diese Probleme aufmerksam gemacht. Microsoft hat sich entschieden, dieses Verhalten vorerst nicht zu beheben. Hier die Standardantwort des Microsoft MSRC vom 14.02.2024:
We determined your finding is valid but does not meet our bar for immediate servicing considering this is mainly applicable for phishing attacks. However, we have still marked your finding for future review as an opportunity to improve our products.
Das Problem wird zwar bestätigt, erfüllt aber nicht die Anforderungen an eine sofortige Bearbeitung durch Microsoft – es handele sich ja "hauptsächlich um Phishing-Angriffe", was soll da schon passieren. Man nehme den Hinweis jedoch für eine künftige Überprüfung als Möglichkeit zur Verbesserung unserer Produkte auf. Da Outlook Classic momentan zugunsten des neuen Outlook Clients (App) etwas ins Hintertreffen gerät, dürfte sich so bald nichts ändern. (via, via)
Anzeige
Unter [1] wird das ganze Video ungeschnitten gezeigt, womit auch ersichtlich ist wie Copilot dazu gebracht wird diese Falschinformationen auszugeben. Sehr interessant.
[1] https://www.zenity.io/remote-copilot-execution/
Die Standardantwort des MSRC passt wie Arsch auf Eimer zu Deinem kürzlichen Beitrag "Schwachstellen in Windows SmartScreen und Smart App Control seit 2018 ausgenutzt" (https://www.borncity.com/blog/2024/08/06/schwachstellen-in-windows-smartscreen-und-smart-app-control-seit-2018-ausgenutzt/): M$FT bespasst seit JAHR(ZEHNT)EN mit solchen Sicherheizkasperl-Funktionen ihre strunzdummerweise viel zu leichtgläubigen Kunden^WOpfer, und deren MSRC ist "wo ich fassungslos feststelle, wie verstrahlt die im MSRC teilweise sind." (https://www.borncity.com/blog/2024/08/08/schwachstelle-in-windows-update-ermglicht-downgrade-angriffe-august-2024/#comment-190057) wie Du erst vorgestern höchstzutreffend schrobst.
JFTR: ich habe DUTZENDE solcher Standardantworten erhalten, manchmal auch mit der Aussage "will be included in vnext", also der nächsten Version des Produkts, nur wurden die Schwachstellen NIE gestopft!
Und ihre Marketendermühlen laufen mit Leichtwasser^Wheisser Luft weiter: https://www.heise.de/news/Microsoft-Sicherheitsfokus-von-Angestellten-bekommt-Einfluss-auf-Gehaelter-9826607.html
"Microsoft sieht keinen Handlungsbedarf"
So sieht das 'Sicherheit hat höchste Priorität'-Versprechen in der Praxis aus.
Ist das peinlich! Sicherheitsmeldungen direkt in den Email-Quelltext einbauen, so dass sie via CSS beliebig formatiert werden können :-(
Wie funktioniert das denn dann bei tatsächlich signierten Nachrichten? Das "Sie erhalten nicht oft…" verändert doch offensichtlich den vom Absender signierten Mail-Body …
Ich sitze gerade kopfschüttelnd am Frühstückstisch…
Was denkt sich ein Dev da überhaupt seinem Schmus in einen Mailbody zu kippen? Da müssen doch gleich mehrere Konzepte schlichtweg nicht verstanden worden sein?!?!
Das erinnert mich an den EFAIL CCC Vortrag vor ein paar Jahren (https://efail.de/) – Microsoft hat nichts aber auch wirklich nichts gelernt. Ich gehe sogar ein Schritt weiter und behaupte, die Deppen machen mutwillig das Kommunikationsmedium Email kaputt.
E-Mail war noch nie gesund, das müsste von Grund auf systemisch neu entwickelt werden.
Was ist denn die Alternative? Whatsapp? Ich bitte Dich!
Email ist für's Business gesünder als so manche glauben… deswegen hat es sich seit 50 Jahren so bewährt und laufend weiterentwickelt und ist nicht wegzudenken.
Ich würde bei den Anwendern mit Ihrer Fehlbedienung und kaputten Email-Clients beginnen und zu den minderbemittelten Admins übergehen, die heute kaum noch in der Lage sind, einen sauberen Mailserver zu betreiben. Die meisten scheitern ja schon bei DMARC.
Dann werden nicht bessere Dienstleister damit beauftragt, was zwangsläufig im Turbo-Digitalkapitalismus zu BigTech Monopolen (Google und Microsoft) führt, die das Medium mit Ihren einfach nur kranken Vorstellungen wie diesem CSS Schmus vergewaltigen.
Naja sorry, aber ob ne Mail Vertrauenswürdig ist oder nicht mach ich doch nicht von solchen Anzeigen abhängig… Hirn einschalten hilft ungemein egal was da angezeigt wird!
Phishing lässt sich zu 100% eliminieren!
Da gibts da drausen weitaus gefährlicheres was selbst gestandenen Sicherheitsexperten den Schweiß auf die Stirn treibt.
"Da gibts da drausen weitaus gefährlicheres"
Risiken sind additiv, nicht multiplikativ. "Weitaus gefährlicheres" kommt ja noch oben drauf…
Schon das erste Loch macht den Eimer undicht!
Solange das Löcher sind wo es einen Dummen zu braucht oder bereits Zugriff auf das Sytsem ist das aber harmlos… und handelbar.
Phishing ist zu 100% handelbar! Setzt halt fähige Leute vorraus und ja ich weis die sind Mangelware, aber in Firmen Mangelware weil man die nicht bezahlen möchte, nicht weil die nicht existieren.
Beispiel: Es ist absolut nicht notwendig das Mails ungeprüft und ungefiltert bei der Tipse aufschlagen!
Auch als HTML Mails sind absolut nicht notwendig!
–> Loch gestopft! Auch ist es nicht notwendig das das Mailprogramm bei der Tipse nativ läuft.
IT Security und Mitarbeiter Schulungen kosten halt Geld, nimmt man das aber in die Hand funzt das auch.
Microsfoft365, Teams und Co, wir leider auch.
Wir haben das gerade aktuell in unserem Unternehmen. Ein europaweiter Konzern im Facility Bereich.
Der Account unseres Bereichsleiters wurde gehackt und wir bekamen teilweise sogar auf unsere private Emailadressen Phishingmails. Man muß nur einmal mit der Firma per privater Mail kommuniziert haben… schwupps.. war men Emailfach betroffen. Wie nun herauskam, bekamen sehr viele MAs diese Phishing mails. Einige sind darauf reingefallen und haben natürlich munter drauflosgeklickt. Obwohl der Betreff der Mails vollkommen sinnlos war. (Rechnungsstellung).
Wer als MA bei dem Betreff schon nicht sofort skeptisch wird ist dämlich. Doch das ist nur ein weiteres Problem. Das Hauptproblem bleibt, leitende Angestelltenkonten wurden gehackt. Microsoft ist nicht sicher, war es nie und wird es nie sein. Digitalisierung, überall, egal in welchen Bereichen, koste es was es wolle. Wie dämlich. Man sollte in manchen Bereichen die Digitalisierung schlichtweg auslassen. Remote-working und der ganze Müll, es wird uns allen noch böse um die Ohren fliegen, ihr werdet es sehen. Mir graut bei der Vorstellung, as auch Krankenhäuser, Patientenakten, Gesundheitsdaten, Personenstandsdaten in Behörden usw… usf…. immer mehr digital verwaltet werden und gespeichert.. Was ein Dreck. Gewisse Bereiche sollten nach wie vor und ausschliesslich in herkömmlicher Art und Weise behandelt werden. Analog, Fax oder mit Papier und persönlichen Erscheinen – je nachdem worum es geht. Es ist diese unsägliche Faulheit der Menschheit, die deren Schaden ist.
Wenn jemand freiwillig Zugangsdaten in obskure Formulare einträgt oder Links in E-Mails anklickt, ist das dann ein Hack?
Heute? JA weil die Wahrheit das da einer einfach nur dumm ist darf m an ja nicht mehr sagen!
Natürlich geht die Signatur kaputt wenn da wer etwas in die schreibt wie "Achtung neuer Absender".
Aber das stört weder die Anwender, noch Cheffes.
Die Dummheit ist unglaublich.
Neulich bekam ich eine Diagnose eines Facharztes per Email.
Die Fachangestellte hatte mich nach meiner E-Mail gefragt, so quer über den Schalter. Die Diagnose war ein verschlüsseltes PDF mit dem Geburtsdatum des Patienten als Schlüssel. Stand in der email. Auf meine Frage was der Mist solle, kam zurück, man benutzt ja,als Telekom Kunde, verschlüsselte eMails, und meinte damit allen Ernstes TLS, "security made in Germany" der großen 3 Email Anbieter.
Der hatte noch so einen Klopse. Die Telefon Anlage war auf "KI" umgestellt worden und leitete alle Kassenpatienten ins Nirwana.
Es scheint niemanden aufgefallen zu sein.
Inzwischen hört man 20aec das normale Rufzeichen. So soll die Dame mit den langen Wimpern mehr Zeit haben, den Anruf anzunehmen, vor der kaputten KI…
Es ist so traurig.
Doch das stört Anwender. Habe nachdem mehrere Mitarbeiter eines Kunden unsere defekten Signaturen bzw. Emails bemängelt haben drei Wochen versucht deren Dienstleistern zu erklären, dass der Hinweis "Mail von externem Absender" nach der Entschlüsselung/Signaturprüfung gemacht werden muss und das Security Gateway hinter den Gateway für Verschlüsselung laufen sollte. Verschiedene Dienstleister für die Gateways und keinen in der Firma der selbst Ahnung hat. Hab dann einfach aufgegeben. Aber die Dienstleister waren die grossen in der Branche mit Support im Ausland.
"Sie erhalten nicht oft E-Mails von xyz@example.com"
das soll die Aufmerksamkeit beim Empfänger erhöhen.
Aber ein Service Mitarbeiter bekommt ständig Emails von neuen Kunden. Irgendwann nimmt er den Text überhaupt nicht mehr wahr.
Diese Warnung hat nur dann einen Nutzen, wenn der Absender vorgibt ein Kollege zu sein. Da würde auffallen, wenn Daniel plötzlich über ein externes System schreibt.
Das wird aber nicht bewarnt…
Für den Service Mitarbeiter wäre aber hilfreich, welches der "richtige", nicht fälschbare Absender ist.
Das kann man nur mit extremen Klimmzügen im Eingangsfolder anzeigen lassen. Warum bietet MS das nicht an?
Wie erstellt man denn bei eMails einen "nicht fälschbare[n] Absender"?
Mehr als in envelope und header angegeben wird kann der Client doch gar nicht anzeigen (und envelope auch nur, wenn der Server es dem header hinzufügt)?
Es würde schon viel helfen, wenn alle durch die Bank SPF, DKIM und DMARC einsetzen würden und das dann auch noch korrekt umgesetzt. Wenn ich auf unserem Mailgateway sehe, wie viele Mails z.Bsp. wg. fehlerhaftem DKIM abgelehnt (wegen Bodyhash Mismatch) oder in Quarantäne geschoben werden (weil der öffentliche Eintrag nicht erreichbar ist) kann ich nur immer wieder mit dem Kopf schütteln.
Wenn wir die Absender dann darauf ansprechen heißt es oft: "Ihr seid die einzigen, mit denen wir das Problem haben, muss also an euch liegen".
So siehts aus!
Amen!
Was auch helfen würde, wenn große Unternehmen Ihr DNS im Griff hätten und eine Mail nicht von firma.de, die andere von firma.com. die nächste nicht von mailchimp.com und die wichtigste nicht von security-alert.firma.snakeoil.com käme.
Aber die Hoffnung hab ich aufgegeben. Es hilft nur noch brandroden und zusehen, auf der eigenen kleinen Scholle klare Verhältnisse zu haben.
mit diesem -sinnlosen- Hinweis
"Sie erhalten nicht oft E-Mails von xyz@example.com"
geht eine Zeile der Kurzdarstellung verloren.
Wer Outlook auf dem Handy macht, wird dieses Feature hassen.
Ich weiß nicht wie blöd man bei MS sein darf um nicht gefeuert zu werden.
Dieses Warnungen sind komplett jirntot. Der Admin, der sie freischaltet auch.
Sie zerstören die Signatur und man kann beliebige Inhalte vortäuschen und stören die Usability.
MS ist doch eine US-Firma.
Und da muß man sich in die Denke von US-Firmen versetzen.
Da muß doch auch z.B. in die Bedienungsanleitung eines Rasenmähers, das der nur zum Mähen von Rasen gedacht ist und nicht z.B. zum Hecke scheren.
Das liegt auch am US-Recht.
So etwas wie: Gerät falsch genutzt und sich verletzt = Pech gehabt wie in Europa gibt es in den USA nicht. Da wird dann der Hersteller verklagt. Deshalb gibt es in US-Bedienungsanleitungen auch immer viele Warnungen und Hinweise auf Dinge, die woanders in der Welt nicht drin stehen müssen, weil der gesunde Menschenverstand entsprechende Handlungen ausschließt..
Sehr viele US-Bürger haben den Verstand eines 3-jährigen Kindes.
Deutsche und Europäer auch ;-P nur der Deutsche kann sich damit nicht seine Rente sichern wie der US Bürger!
Wir dürfen buckeln bis 65? 67? 70? und bekommen was? Zuviel zum sterben zuwenig zum Leben… wer ist da wohl der Klügerer? der US Bürger der sich seine Rente einklagt? oder die bekloppten hier die buckeln?
Ich bin einfach nur froh das ich den Schritt vom Lohnsklaven zur Eigenständigkeit schon vor Jahrzehnten getan habe… Rente? Brauch ich ned die Firma wirft genug ab, das kann ich in meinem restlichen Leben nicht mehr ausgeben.
Da ich auch keine Kinder habe (zumindest keine für die ich offiziell zahlen muss) können sich darüber nichtmal die Erben streiten. Geht dann an Vater Staat, aber das ist mir dann auch egal.
Bevor ich das Erbe Vater Staat überlasse, würde ich lieber ein Testament machen und als Erben eine oder mehrer wohltätige Organisationen (Tierschutzverein, Krebshilfe, etc. etc.) einsetzen.
Da ist das Geld sinnvoller untergebracht.
Hab's eben mal getestet: wenn ich das CSS aus dem Beitrag einbaue, dann bekomme ich in Outlook (allerdings mit OnPremise-Exchange, nicht 365) eine Warnung, dass nicht alle Inhalte des Absenders angezeigt werden.
Klar ist das so ein bedingtes echtes problem aber phising läuft ja üblicherweise über "Täuschung" und genau das passiert hier. Insofern egal wie man zu dem feature steht, entweder ist es da und man versucht es (hersteller) nicht zu leicht zu umgehen zu machen oder man lässt es ganz – microsoft macht nichts davon
parallel dazu "security is our highest priority"
der laden ist so ne lachnummer aber ist völlig egal, die kunden rennen trotzdem hin wie die blöden