[English]Mal wieder eine etwas merkwürdige Beobachtung aus der Leserschaft. Mir liegt ein Bericht vor, dass Microsoft Office seit kurzem versucht, Zugriffe auf die Domain aprimocdn.net zu verhindern. Es scheint ein Sicherheitsproblem zu sein, wie man einem Dialogfeld entnehmen kann.
Anzeige
Ein Leserhinweis auf aprimocdn.net
Ein Blog-Leser hat sich per E-Mail gemeldet, weil er auf eine sehr merkwürdige Geschichte gestoßen ist. Er schrieb mir, dass er seit dem 10. Februar 2025 mit einem merkwürdigen Phänomen konfrontiert sei, für welches er keinen Erklärung hat. Seit dem 10. Februar 2025 bekommen diverse Office-Anwender in seinem Umfeld folgende Meldung per Dialogfeld angezeigt:
Die Meldung wird wohl von Microsoft Office ausgelöst. Es heißt, dass der Zugriff auf die Subdomain p1.aprimocdn.net und einen Ordner blockiert wurde, weil der Netzwerk-Proxy eine möglicherweise unsichere Anmeldemethode verwendet.
Dieses Dialogfeld lässt sich reproduzieren, indem der Nutzer entweder in einem Office-Programm auf Speichern unter… geht oder in die Konto-Einstellungen hinein geht.
Anzeige
Dem betroffenen Nutzer wird empfohlen, den eigenen IT-Support zu kontaktieren. Nun ja, der Blog-Leser gehört wohl zur IT des betroffenen Unternehmens.
Zugriffe in Proxy gesperrt
Vom Leser habe ich noch den Hinweis, dass in der IT eine sehr restriktive Proxy-Policy gefahren werde. Die oben genannte URL/Domain aprimocdn.net taucht dort im Proxy-Log auf, die Zugriffe auf die Domain sind aber nicht erlaubt.
Der Leser schreibt, dass der dortigen IT aber völlig unklar sei, wo diese URL herkommt und wofür Office diese URL bräuchte. In der Liste der Microsoft-Endpunkte kann er die betreffende Domain nicht finden.
Wem gehört die Domain aprimocdn.net?
Schaue ich auf WhoIs nach, sehe ich, dass die DNS-Einträge auf diverse Azure Name-Server verweisen.
Der Eigentümer der Domain ist eine Aprimo US LLC in Indianapolis in den USA. Aprimo ist laut Wikipedia ein in den USA ansässiges Unternehmen, das Marketing-Automatisierungssoftware und Digital-Asset-Management-Technologie für Marketing- und Customer-Experience-Abteilungen in Unternehmensorganisationen entwickelt und vertreibt.
Nutzt Microsoft Aprimo?
Gehe ich im Internet auf die Suche gibt es eine Microsoft-Seite zu Apps, in denen ein "Aprimo Productivity Management" aufgelistet wird. Aprimo Productivity Management soll die Zusammenarbeit im Marketing vereinfachen und automatisieren. Und es gibt von Aprimo einen Microsoft Office Connector for Aprimo Digital Asset Management.
Auf dieser Webseite erfährt man noch, dass Aprimo und Microsoft seit 20 Jahren eine Partnerschaft pflegen. Aprimo will diese Partnerschaft durch die Nutzung von OpenAI und
Beitritt zum Microsoft Azure Marketplace weiter ausbauen. So richtig schlau werde ich da aber nicht draus.
Daher stelle ich die Frage an die Blog-Leserschaft, ob jemand ähnliche Meldungen erhält oder Zugriffsversuche auf die oben genannte Domain in den Logs findet. Und natürlich schiebe ich die Frage nach, ob jemand eine Erklärung für die Zugriffe auf die Aprimo-Domain hat?
Anzeige
Evtl. dient das dazu, Werbung in Office einzublenden.
Irgendwoher muß die ja kommen.
Seltsam finde ich, dass die Meldung "aus heiterem Himmel" kommt. Für mich sieht das so aus, als als wäre die Meldung durch eine Benutzeraktion entstanden. Also ein Klick auf irgendwas (Datei, Link, Button etc.).
Warum denke ich dass: netdocuments ist – wie der Name schon sagt – eine Dokumentenablage (DMS) im Netz. Also wie DocuWare oder ganz, ganz grob wie SharePoint. Das ganze läuft über das Content Delivery Netzwerk von aprimo (aprimocdn), damit die Dateien auch überall auf der Welt gut erreichbar sind.
Auf dieser netdocumens-Webseite, die die Zusammenarbeit mit DocuSign (nicht mit DocuWare verwechseln) bewirbt, finden sich unten drei Links zu PDF-Dateien. Ein Link hat folgende URL: https://p1.aprimocdn.net/netdocuments/98aa3062-51cd-469a-ae93-affc00f13546/originalfile/netdocuments-solutions-brochure-noram.pdf.
Der Aufbau ist also komplett analog zu dem was in der Fehlermeldung gezeigt wird.
Sollte das also tatsächlich ohne Benutzeraktion erscheinen, versucht irgendein Programm etwas von dort nachzuladen. Vielleicht ein harmloses Programm, vielleicht auch ein böses.
NSLookUp löst nicht auf, aber da es eine "Sternchen"-Domain ist, wird jede Sub-Domain gemappt auf :
u.aprimocdn.net canonical name = j.sni.global.fastly.net
Address: 146.75.118.132
cdns haben, je aus welcher Ecke im Internet man drauf schaut, mitunter andere IP-Adressen, eben der nächste Server mit dem Inhalt vom Benutzer aus gesehen. Also so ähnlich wie ein Distributed Filesystem (DFS) in Windows-Netzen.
Werbe Trojaner? Wäre nicht das erste mal das versucht wird über Werbung was einzuschleusen…
Ich sehe unseren Proxy aprimocdn.net auch blockieren. Und zwar deswegen weil irgend etwas auf den Tier-2-Systemen (PCs, Terminalserver) versucht, ohne Benutzerauthentifizierung (unauthorized user) auf diese Domain zuzugreifen. Demnach sind 99.8% dieser Zugriffe sind blockiert, 0,2% sind durchgegangen, weil ein AD-Benutzeraccount sich dafür am Proxy authentifiziert hat.
Wenn sich rausstellt, dass das tatsächlich unnötiger Werbequatsch in O365 ist, würde ich das auf dem Proxy komplett sperren lassen.
Aprimo ist eine Software zur Verwaltung von Marketingdateien, und der betreffende Link ist einfach eine Datei, die jemand in dem Unternehmen, das diese Software verwendet (wahrscheinlich NetDocuments), auf das CDN von Aprimo (Fastly.com) hochgeladen hat, damit sie öffentlich verfügbar ist (vergleichbar mit einem öffentlichen OneDrive-Link).
Warum er in Outlook auftaucht? Vermutlich hat jemand diesen Link mit der betreffenden Person geteilt oder sie haben ein Plugin installiert, das solche Marketingdateien in E-Mails einbettet, zum Beispiel: https://appsource.microsoft.com/en-us/product/office/wa200002563?tab=overview.
Diese Links sind nicht schädlich und auch keine Werbung (obwohl sie dazu genutzt werden könnten, Werbung zu hosten, wenn jemand entsprechende Inhalte auf das CDN hochlädt).
Es wäre interessant zu sehen, worauf der Benutzer klickt / was er öffnet und welche Plugins installiert sind…
NetDocuments hat auch ein Outlook-Plugin, daher könnte es auch dieses sein, das den Link lädt: https://appsource.microsoft.com/en-us/product/office/wa200006806?tab=overview
Wahrscheinlich ein Marketingpixel in E-Mails mit dem man auswerten kann wie viele Leute eine Mail geöffnet haben und auf welchen Medium (PC/Mobil).
Standard bei der Messung von Marketingwerbung per E-Mail.
Irgendwo hin muss dieser Marketingpixel sein Rückmeldung ja senden.
Und das meine Damen und Herren ist der Grund, warum Windows und Office Installationen offline zu halten sind. In verwalteten Terminalserver-Umgebung sehr einfach herzustellen. Lediglich das eigene Mail-Gateway ist für Outlook via ActiveSync erreichbar sowie der eigene Proxy im Firefox Webbrowser, alles bequem mit GPOs steuerbar.