[English]Benutzer des Apple Safari-Browsers haben aktuell ein Problem, wenn sie versuchen, auf ein Outlook-Postfach (OWA) zuzugreifen. Es wird alle paar Sekunden ein TokenFactoryIFrame heruntergeladen. Das Problem tritt wohl erst seit ein paar Tagen auf. Es sieht aber so aus, als ob auch der Chrome betroffen ist – Microsoft hat da wohl was kaputt gemacht.
Anzeige
John Heinrich hat mich gerade auf Twitter auf dieses Problem hingewiesen (danke dafür), welches aktuell im Internet u.a. auf Microsoft Answers von Nutzern diskutiert wird.
Am 2. Mai 2022 schreibt ein Benutzer Afahl im englischen Microsoft Answers-Forum in nachfolgendem Text, dass ihm alle 5-10 Sekunden ein TokenFactoryIFrame heruntergeladen werde:
TokenFactoryIFrame
Hello,
I am using outlook in a Safari browser on my Mac. Whenever I visit outlook "TokenFactoryIFrame" downloads every 5-10 seconds. I have not clicked on any of these as I do not know if it is malware or not.
does anyone know what this is and how I can fix it?
Anzeige
Ein Benutzer gibt an, dass der Fehler mit macOS Monterey 12.3.1 und Safari 15.4 auftrete. Beim Durchsehen der Posts ist mir auch ein Nutzer aufgefallen, der das Fehlerbild ebenfalls für den Google Chrome-Browser unter macOS reklamiert. Ein weiterer Nutzer reklamiert den Fehler unter Chrome auf einem iPad. Der inzwischen gesperrte Thread umfasst bereits 28 Seiten, und 2733 Benutzer geben an, dass sie eine Lösung ebenfalls interessiert sind. Ein Nutzer konnte es reproduzieren und schreibt (wobei die Aussage, dass es nur auf Safari auftritt, durch die Hinweise auf Chrome widerlegt sind) :
I have recreated the issue several times. It only happens in Safari ADN it only happens with Outlook Web Access. I login to Office 365 and don't have the problem until I go to Outlook. If I go back to Office 365 the problem disappears. I have also tried Word, but it doesn't happen there. If I login directly to Outlook Web Access, it starts right away.
In Safari, in the developers Console, I found several:
failed to load resource: The server responded with a status of 400:
There are many of the failed to load resource messages, they vary slightly but then repeat. They all point to the same url, which very much looks to be a Microsoft URL. It drops a TokenFactoryIframe (Zero Bytes) into my Downloads folder. There is only 1 file. The repeated action, just overwrites the previous file.
Weitere Threads finden sich hier auf Microsoft Answers sowie auf Techcommunity. Auch auf reddit.com habe ich diesen Eintrag gefunden. Bei Apple gibt es diesen Forenbeitrag, in dem aber auf Microsoft verwiesen wird. Es scheint wohl alle Microsoft 365-Nutzer auf Apple-Geräten zu betreffen, wenn diese (im Safari) versuchen auf ihre Outlook-Postfächer per Outlook Web Access (OWA) zuzugreifen. Ein Arbeiten ist nicht mehr möglich.
Ist es eine Browser-Infektion?
Ergänzung und Warnung: Als ich meinen Artikel hier und die englischsprachige Fassung im englischen Blog schrieb, gab es noch keine weitere Treffer abseits der Berichte Betroffener. Inzwischen werden bei einer Suche zahlreiche Artikel gefunden, die Token Factory Iframe als schädlich beschreiben. Es soll ein schädlichen Browser Add-on für Safari etc. unter macOS sein, welches unerwünschte Werbe-Popups erzeugt und Browser-Einstellungen verändert.
Das muss nicht falsch sein, aber was ich bisher auf den betreffenden Webseiten gesehen habe (Beispiel hier), versuchen diese Seiten ein "free" Remover Tool zum Entfernen der vermeintlichen Malware anzudienen, das dann zu einem teuren Abo führt. Hier ein Auszug aus den SpyHunter Bedingungen.
Free SpyHunter Remover Details & Terms
SpyHunter's malware scanner is for detection purposes. Upon completion of the scan, you have the choice to subscribe to SpyHunter on a 6-month basis for immediate removal of results found and system guard protection, typically starting at €48 every six months.
Um auf Nummer sicher zu gehen, öffnen Sie Ihren betroffenen Browser in macOS, dann öffnen Sie das Menü und wählen Sie den Menüpunkt Einstellungen. Gehen Sie zu Erweiterungen und prüfen Sie, ob sich in der Liste der Erweiterungen der Eintrag Token Factory Iframe befindet. Wenn Sie einen solchen Eintrag finden, ist Ihr Browser tatsächlich von einem Browser-Hijacker infiziert. Klicken Sie in diesem Fall auf den Eintrag Token Factory Iframe und entfernen Sie ihn aus Ihrem Browser. Wiederholen Sie diesen Vorgang für alle Erweiterungen, die Sie nicht kennen.
Sie können auch ein Antivirenprogramm wie Bitdefender für Ihren Mac verwenden, um das System auf bösartige Software zu überprüfen. Aber im aktuellen Fall hat kein Benutzer lästige Werbung, Banner und Pop-ups beobachtet – und ich habe keine Berichte über Infektionen wie einen Browser-Hijacker gesehen, die von Benutzern oder Antiviren-Software entdeckt wurden.
Workarounds, bis Microsoft reagiert
Das Ganze ist recht mysteriös – es wird wohl ein Token Factory für einen iframe-Tag heruntergeladen – das könnte ein Sicherheitsproblem darstellen (wie ich oben ausgeführt habe) – bisher habe ich aber da keine belastbaren Hinweise für den aktuellen Fall gefunden. Ein Benutzer PAtsie1429 schreibt, dass er das Ganze für sich mit einem Workaround gelöst habe.
Hi, all –
I seem to have eliminated the pop-up on my MacBook by changing the download preferences for Outlook365 in Safari to Deny. After doing so, I notice that when I visit Outlook365, there is a slight movement, as if the download is being attempted, but when I check my download file, Token Factory does not appear.
Not sure it is a fix, but seems better than constant download prompts.
Safari/Preferences/Websites
Der Workaround gibt dem Safari vor, keine Downloads aus Outlook 365 mehr durchzuführen. Bedeutet aber, dass keine Downloads von Mail-Anhängen mehr möglich sind. Ist also nicht ganz optimal. Bei Apple schreibt ein Nutzer, dass er das in der Firewall blockiert habe.
In diesem Webbeitrag vermutet jemand, dass es mit Apples Intelligent Tracking Protection (ITP) zusammenhängt und dass plötzlich Drittanbieter-Cookies blockiert werden. Er skizziert ebenfalls einen Workaround – und regt zudem an, das System auf Malware zu prüfen.
Ein weiterer Benutzer James Davis_70 warnt Anwender dagegen im Apple Forum davor, Änderungen am System vorzunehmen.
For Apple users, please don't make any setting changes to your systems, and don't down load this. The issue would be related to a change on Microsoft's side and they have to fix it.
This is impacting all of O365 when accessed using Safari.
For iOS users, try using the Outlook, PowerPoint, and Excel apps as a workaround.
For Mac users, try using the desktop app as a workaround.
Es schaut so aus, als ob Microsoft da ran muss und das Problem zu beheben hat. Nutzer mit iOS sollen auf Apps für Outlook, PowerPoint und Excel ausweichen. Nutzer von macOS sollen ebenfalls die Desktop-Apps als Workaround einsetzen.
Der beste Workaround, der bisher bei allen Nutzern funktionierte, ist die Verwendung des Firefox als Browser um auf das Outlook-Postfach per OWA zuzugreifen.
Anzeige
Microsofts Web Apps sind immer bekloppt. Um z.B. Teams im Browser zu benutzen, muß man auch alle möglichen Cookieeinstellungen erlauben, die Gott und der Teufel aus guten Gründen schon vor zehn Jahren verboten haben. Daß eine einzige Seite überhaupt auf so viele Domains zugreifen will, ist schon ein totales Warnsignal, daß es sich um richtigen Schrott handelt.
https://docs.microsoft.com/en-us/microsoftteams/troubleshoot/teams-sign-in/sign-in-loop
Microsoft sollte lieber bei seinen Leisten bleiben und mit dem Webzeug komplett aufhören. Und Exchange sollte einfach nur IMAP anbieten, wie alle anderen (inklusive GMail und iCloud) das seit Jahrzehnten auch tun. Dann müßte man auch nicht so Blödsinn brauchen wie Outlook für Android, welches seine Paßwörter und die Mails in der Cloud zwischenspeichert.
Wir nutzen als Workaround den 365 OWA nun mit Firefex anstelle von Safari.
Das Problem wurde seitens Microsoft behoben.
Danke Robert. Hast Du das nur bei Tests festgestellt – oder gibt es eine Stellungnahme von Microsoft. Mir ist diesbezüglich nichts bekannt. Ich hatte aber in Microsoft Answers die Moderatoren gebeten, die Produkt-Gruppe über das Problem zu informieren. Vielleicht hat es gefruchtet. Komischerweise hat mein englischsprachiger Beitrag wesentlich mehr Abrufe (> 17.000) als das deutschsprachige Pendant (> 2.000).
Gerne Günter. Bei uns in der Firma ist das Problem behoben (14 Mac-Rechner).
Kopie der Antwort aus dem Microsoft Threat:
Danke – in das Portal komme ich mangels Masse nicht rein. Habe mal den Thread verlinkt – da habe ich nicht reingeschaut – hat also meine Bitte an die Moderatoren, den Fall an die Produktgruppe weiterzuleiten, möglicherweise was beschleunigt und zu einem Statement geführt.