{"id":270606,"date":"2022-07-18T10:58:28","date_gmt":"2022-07-18T08:58:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=270606"},"modified":"2022-07-30T10:51:58","modified_gmt":"2022-07-30T08:51:58","slug":"neue-kontosperrungen-bei-outlook-com-luft-microsofts-ki-amok-oder-sind-konten-kompromittiert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/07\/18\/neue-kontosperrungen-bei-outlook-com-luft-microsofts-ki-amok-oder-sind-konten-kompromittiert\/","title":{"rendered":"Neue Kontosperrungen bei Outlook.com – läuft Microsofts KI Amok, oder sind Konten kompromittiert?"},"content":{"rendered":"

[English<\/a>]Kurze Information an Nutzer, die private Microsoft-Konten nutzen (also keine selbst verwalteten Firmenkonten), und gleich als Frage formuliert. Erhaltet ihr aktuell verst\u00e4rkt Sicherheitswarnungen zu Outlook-Konten mit dem Hinweis, dass diese Konten nun gesperrt w\u00fcrden? Oft mit dem Hinweis, dass verd\u00e4chtige Anmeldungen am Microsoft-Konto festgestellt wurden. Ein Blog-Leser hat mich gerade diesbez\u00fcglich kontaktiert und eine Theorie ge\u00e4u\u00dfert – und mir geht eine weitere Theorie im Kopf herum. Es gibt seit einigen Tagen zahlreiche Berichte, wo Leute feststellen, dass ihre outlook.com-Konten von fremden IPs (trotz 2FA) synchronisiert werden – gibt die Verwaltungsoberfl\u00e4che des Kontos jedenfalls an. Erg\u00e4nzung:<\/strong> Ist das behoben?<\/p>\n

<\/p>\n

Outlook.com-Kontensperrungen<\/h2>\n

\"\"Blog-Leser Georg D. hat mich Sonntag per E-Mail kontaktiert (danke f\u00fcr den Hinweis) und berichtete, dass die Sicherheitsmechanismen bei Microsofts E-Mail-Dienst outlook.com (bzw. outlook.de) wohl ein wenig verr\u00fcckt spielten. Dazu schrieb er:<\/p>\n

Hallo Herr Born,<\/p>\n

bei Microsofts freiem Maildienst \"Outlook.com\" scheinen die Sicherheitsmechanismen verr\u00fcckt zu spielen (oder irgendjemand spielt da in Microsofts System herum?).<\/p>\n

Am Freitag informierte mich meine Schwester, dass Sie eine Sicherheitswarnung per Mail auf die in Ihrem Outlook.com-Account\u00a0 hinterlegte Sicherheitsemailadresse erhalten habe.<\/p><\/blockquote>\n

Der Sicherheitshinweis, der dann verschickt wird, sieht wie nachfolgend gezeigt aus (einfach auf das Bild klicken, um die vergr\u00f6\u00dferte Anzeige einzusehen.<\/p>\n

\"Outlook.com-Sicherheitshinweis\"<\/a>
\nOutlook.com-Sicherheitshinweis, Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Georg schrieb, dass der Mailversand des Outlook-Kontos (per IMAP-Abfragen per Client) gesperrt worden war. Man konnte sich aber noch an der Web-Oberfl\u00e4che anmelden. Nach einer Anmeldung bei der Weboberfl\u00e4che konnte man laut Georg unter den verd\u00e4chtigen Anmeldungen folgendes sehen:<\/p>\n

<\/a>
\nOutlook.com-Anmeldeverlauf, Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Im betreffenden Formular kann man dann angeben, dass man selbst auf das Outlook.com-Konto zugegriffen habe, so dass das Ganze wieder zur\u00fcckgesetzt wird. In obigem Screenshot sieht man aber, dass aus den USA ein Zugriffsversuch per IMAP-Protokoll auf das Online-Konto versucht wurde – f\u00fcr einen deutschen Benutzer eher unwahrscheinlich.<\/p>\n

Ich habe mal die IP-Adresse 13.101.111.171 in dieser Datenbank<\/a> und weiteren Domain-Tools eingegeben. Der IP-Adressbereich 13.64.0.0 – 13.107.255.255 ist f\u00fcr Microsoft selbst registriert.<\/p><\/blockquote>\n

Ein zweiter Fall in Frankreich<\/h3>\n

Den obigen Fall h\u00e4tte man jetzt als isoliertes Ereignis abtun k\u00f6nnen. Aber bei meiner ersten Suche nach der obigen IP-Adresse bin ich auf dieses franz\u00f6sischsprachige Forum<\/a> gesto\u00dfen, wo ein Nutzer sich \u00fcber st\u00e4ndige Sicherheitsmeldungen beschwert:<\/p>\n

Hallo, seit 4 Tagen benachrichtigt mich meine E-Mail \u00fcber eine ungew\u00f6hnliche Verbindung in die USA, und ich muss das Passwort \u00e4ndern (zum 4. Mal heute Morgen), aber nichts passiert.<\/p>\n

Heute Morgen hatte ich wieder diese ungew\u00f6hnliche Benachrichtigung. Ich habe meinen Prozess ge\u00e4ndert, wie mein iPhone und mein PC auf das Microsoft E-Mail-Konto zugreift. Ich bin also nicht infiziert. Ist das ein Bug von outlook USA?<\/p>\n

… denn es zerm\u00fcrbt mich … Danke f\u00fcr eure Meinungen.<\/p><\/blockquote>\n

Auch dort werden diverse IP-Adressen genannt, die alle zu Microsoft geh\u00f6ren. Die Diskussion ist nicht so zielf\u00fchrend (jedenfalls nach meinem Geschmack), denn es wird gefragt, ob der Nutzer die betreffenden IPs nicht von der \u00dcberwachung ausnehmen k\u00f6nne. Der beste Hinweis war, dass ein Dritter versucht, auf das Konto zuzugreifen – und die vom Nutzer eingesetzte Zwei-Faktor-Authentifizierung (2FA) da wohl helfe. Das Problem werde sich von alleine regeln …<\/p>\n

Der Blog-Leser ist pl\u00f6tzlich selbst betroffen<\/h3>\n

Georg erw\u00e4hnte in seiner E-Mail, dass er kurz nach dem Hilferuf seiner Schwester in die gleichen Problematik rauscht. Er hatte auch herausgefunden, dass \"die IP-Adresse wohl nach Redmond geh\u00f6rt\", wie er sich ausdr\u00fcckte. Er schrieb:<\/p>\n

Zur gleichen Zeit bemerkte ich, dass ich ebenfalls f\u00fcr meinen Outlook.com-Account eine gleiche Sicherheitswarnung bekommen hatte. Mein Account war f\u00fcr den Mailversand ebenfalls gesperrt. Nach einer Webanmeldung hatte auch ich eine verd\u00e4chtige Anmeldung im Webinterface.<\/p><\/blockquote>\n

\"Outlook.com<\/a><\/p>\n

Hier wird zwar eine andere IP verwendet, diese geh\u00f6rt aber ebenfalls zum oben genannten IP-Adresskreis, der Microsoft zugeordnet ist. Dann wurde sein Konto ein zweites Mal gesperrt und dazu schrieb er:<\/p>\n

Nun ist bei mir heute eine erneute Sicherheitswarnung von MS eingetroffen. Erneut war das Konto gesperrt. Nach dem Einloggen ins Webinterface sind diesmal keine verd\u00e4chtigen Anmeldungen protokolliert. Inzwischen schreibt mir meine Schwester, dass sie auch wieder die Sicherheitsmeldung bekommen hat und der Account gesperrt ist.<\/p><\/blockquote>\n

Weitere Fundstellen im Web<\/h3>\n

Georg hat dann selbst noch recherchiert und ist abseits des von mir oben verlinkten Falls in Frankreich auf weitere Fundstellen im Internet gesto\u00dfen. Er ist beispielsweise auf diesen Beitrag<\/a> eines Betroffenen bei Microsoft Q&A gesto\u00dfen:<\/p>\n

<\/p>\n

Unter dem Titel Unusual sign-in activity email from MS<\/a> berichtet der Nutzer von zwei Benachrichtigungen seines E-Mail-Kontos. Die Aktivit\u00e4ten gehen von Microsoft Azure-Server-IPs aus. Ein weiterer Betroffener best\u00e4tigt die Beobachtungen – wobei in der Q&A-Session nichts an Antwort kommt.<\/p>\n

Georg hat mir auch noch den Link zu diesem Microsoft Answers-Forenbeitrag<\/a> geschickt, wo das Verhalten (aufgetreten am 13. Juli 2022) zum 14. Juli 2022 gemeldet wurde. Der Benutzer des Outlook-Kontos erhielt ebenfalls eine Sicherheitsbenachrichtigung \u00fcber ungew\u00f6hnliche Aktivit\u00e4ten.<\/p>\n

OUTLOOK MAIL ACCOUNT – UNUSUAL ACTIVITY<\/p>\n

Hello,<\/p>\n

I received an email Alert this morning from Microsoft Outlook Security that they found unusual activity on my account.<\/p>\n

When I checked my account activity online, I saw a suspicious IP address:\u00a0 IP: 13.101.148.41 (geolocated in Redmond, WA — A MSFT IP….hmmm…) that just Successfully auto synced to my Outlook Mail account within the past few hours at that time.<\/p>\n

I immediately changed my password and also added 2-factor Authentication to my account and noticed that the suspicious IP address was then \"unsuccessful\" at auto-syncing a few times, but now I see this same suspicious IP back again \"successfully Auto-syncing\" with my Outlook account even after all my password and 2FA changes.<\/p>\n

Is this a known issue at MS? Or has my account been irreparably compromised?<\/p>\n

Is there any way that Microsoft can secure my existing Outlook mail account?<\/p>\n

Thank you.<\/p>\n

D. Horvitz<\/p><\/blockquote>\n

Aus obigem Text geht hervor, dass eine eine verd\u00e4chtige IP-Adresse (die IP 13.101.148.41 geh\u00f6rt Microsoft) sich in den letzten Stunden erfolgreich automatisch mit dem betroffenen Outlook-Mail-Konto synchronisiert hat. Der Nutzer \u00e4nderte sofort sein Passwort und wechselte zur 2-Faktor-Authentifizierung des Konto. Dann bemerkte er, dass die verd\u00e4chtige IP-Adresse ein paar Mal bei der automatischen Synchronisierung \"erfolglos\" war. Aber im Anschluss sah er, dass die verd\u00e4chtige IP wieder eine erfolgreiche automatischen Synchronisierung mit seinem Outlook-Konto durchf\u00fchren konnte – und dies sogar nach den \u00c4nderungen des Passwort und Umstieg auf 2FA. Der Thread des Betroffenen explodiert aktuell, da er viele weitere Meldungen bei Microsoft Answers im Outlook-Forum verlinkt hat. Es sieht so aus, als ob Microsoft Outlook.com-Konten von Dritten eingesehen werden k\u00f6nnen.<\/p>\n

Was ist das los?<\/h2>\n

Ein ehemaliger Outlook MVP hat sich gemeldet und schrieb, dass kein internes Problem bekannt sei, dass diese fehlerhaften Meldungen \u00fcber die Synchronisation produziert. Wenn die Konten wirklich von Dritten abgefragt werden, ist das eine ernste Angelegenheit. Der MVP tippt aktuell aber darauf, dass es m\u00f6glicherweise ein Bug (Serviceproblem) sei, weil es bei vielen Leuten auftritt.<\/p>\n

Der Blog-Leser hat mir weitere Fundstellen wie hier<\/a> berichtet – und eine Suche nach \"unusual sign-in activity email from MS\" wirft Treffer aus. Der Leser schreibt:<\/p>\n

In den Microsoft Sicherheitshinweisen geht es immer entweder um das IMAP oder POP3 Protokoll. In meinem Fall kann ich ausschlie\u00dfen, das zu den fraglichen Zeiten ein Client von per IMAP\/POP3 Zugriff erzeugt h\u00e4tte, geschweige denn einen Client von mir in den USA oder in einer Azure-Ressource laufen w\u00fcrde.<\/p><\/blockquote>\n

und meint dazu: F\u00fcr mich schaut es so aus, dass die Sicherheitsmechanismen einfach \"durchdrehen\" und diese willk\u00fcrlichen Sperrungen verursachen.<\/em> Das w\u00e4re aus meiner Sicht noch die am wenigsten kritische Ursache, denn dann sind wenigstens die Konten nicht kompromittiert, wenn auch die Nutzbarkeit stark erschwert wird.<\/p>\n

Im deutschen Microsoft Answers-Forum zu outlook.com gibt es Posts, wo ich die Moderatoren gebeten habe, das Ganze an die Produktentwickler zu eskalieren. Das ist z.B. in diesem zweiten Thread<\/a> passiert. Ob die dem Vorschlag nachkommen, wei\u00df ich nicht (in diesem Forum fehlt mit die Berechtigung als Community-Moderator, selbst eskalieren zu k\u00f6nnen).<\/p>\n

Ist \u00fcbrigens interessant zu erfahren, wie es Windows-Nutzern mit einem solchen Account geht. Mir ist gerade ein solcher Fall in diesem MS Answer-Thread<\/a> untergekommen. Mit Hilfe des MS-Supports wurde ein zweites MS-Konto gebastelt, um Office noch nutzen zu k\u00f6nnen.<\/p><\/blockquote>\n

Wird da von Azure gehackt?<\/h3>\n

Was mir durch den Kopf geht: Vor einer guten Woche hat sich ein anderer Blog-Leser telefonisch gemeldet (er hatte das Gl\u00fcck, dass ich da – trotz der momentan heftig vielen Werbeanrufe – dran ging). Der Leser ist Administrator in einer Firma und beobachtete pl\u00f6tzlich Zugriffe von IP-Adressen, die zu Microsoft geh\u00f6ren, auf seine Firewalls und wollte wissen, ob mir was bekannt sei. Wir waren eigentlich so verblieben, dass er mir einige Stichworte per E-Mail schickt und ich es im Blog einstelle – zumal er auch Backup-Probleme bei Hyper-V auf Windows Server 2012 R2 hat. Aber dieser Kontakt ist im Sande verlaufen.<\/p>\n

Oder ist es ein Phishing-Versuch?<\/h3>\n

Es gibt noch eine andere Erkl\u00e4rung – ich kann es aktuell aber nicht verifizieren, da mein Outlook-Konto bisher nicht betroffen ist. Aber bei meiner Recherche bin ich auf diese Warnung<\/a> des nationalen Cyber-Sicherheits-Gremiums NCSC aus der Schweiz gesto\u00dfen, die vor gleichartig gestalteten Benachrichtigungen in Form von Phishing-Mails warnen.<\/p>\n

\"Outlook.com-Konto<\/a><\/p>\n

Dort geht es aber um Warnungen vor angeblichen Zugriffsversuchen aus Moskau (Russland). Diese Mails fallen eindeutig unter die Rubrik Phishing. Der in obiger Mail geschilderte Fall ist aber leicht anders gelagert, als das, was der Leser beschrieb (er sieht in seinem Konto ja Zugriffsversuche).<\/p>\n

Abschlie\u00dfende Frage: Ist jemand aus der Leserschaft ebenfalls betroffen? Gibt es \u00e4hnliche Beobachtungen – z.B. Firewall-Zugriffe von IPs aus dem Microsoft Azure-Bereich? Mir geht ja immer noch im Kopf herum, dass Azure-Instanzen von Angreifern angemietet oder \u00fcbernommen wurden und aktuell f\u00fcr solche Angriffe eingesetzt werden.<\/p>\n

Erg\u00e4nzung<\/strong> zum 20.7.2022: In diversen Microsoft Answers-Foren gibt es entsprechende Nutzermeldungen – und ich hatte dort meinen englischsprachigen Artikel zum Thema verlinkt. Gleichzeitig habe ich die Microsoft Forenmoderatoren gebeten, das Problem an die Produktgruppe zu eskalieren. In diesem deutschsprachigen MS-Answers-Forenthread<\/a> hat sich ReynaldoB (M365 Consumer Forum Moderator\u00a0Microsoft-Community) gemeldet und schreibt:<\/p>\n

\n

Hallo Nooshinte,<\/p>\n

Ich habe unser internes Team bez\u00fcglich Ihres Problems konsultiert und wir haben herausgefunden, dass es derzeit ein bekanntes Problem auf der Outlook.com Seite gibt. Wir entschuldigen uns f\u00fcr die Unannehmlichkeiten. Das Outlook.com Team ermittelt bereits in dieser Angelegenheit.<\/p>\n

Vor diesem Hintergrund empfehlen wir Ihnen dringend, einen Bericht \u00fcber diese Angelegenheit \u00fcber diesen Link hier an Microsoft zu senden. Missbrauchsmeldung (microsoft.com)<\/a><\/p>\n

Als Gegenma\u00dfnahme empfehlen wir, eine zus\u00e4tzliche Sicherheitsebene in Ihrem Konto zu schaffen, indem Sie Ihre zweistufige \u00dcberpr\u00fcfung (2FA) aktivieren und ein sicheres Passwort f\u00fcr Ihr Konto erstellen. Sie k\u00f6nnen diesen Artikel hier lesen, um zu erfahren, wie Sie Ihr Konto sicher und gesch\u00fctzt halten k\u00f6nnen. Schutz und Sicherheit f\u00fcr Ihr Microsoft-Konto<\/a><\/p>\n<\/blockquote>\n

PS: Es klemmt aktuell auch an anderen Stellen –\u00a0Outlook.com hat Probleme (18. Juli 2022)<\/a>.<\/p>\n

Es soll behoben sein<\/h2>\n

Erg\u00e4nzung 2: In Microsofts Answers-Forum gibt es einen Post<\/a> von D. Horvits mit folgendem Inhalt:<\/p>\n

07-28-2022: (D. Horvitz)<\/p>\n

UPDATE:<\/p>\n

Received the following \"updated reply\" today 07-28-2022, from MS Outlook Support regarding my original Support Case (\"Trouble Ticket\") submitted on 07-14-2022:<\/p>\n

\"Let me inform you that the fix has been successfully deployed by our Engineering team for the outage which you were facing unusual activities in your account.\"<\/p>\n

Although the MS Support response above is somewhat vague in regard to the wider \"unusual sign-in activity\" issue, it does appear that the original issue has mostly been corrected for many MS Outlook Users including myself.<\/p>\n

But please advise if you are still seeing NEW instances of the Unexpected Microsoft IP (IP: 13.101.XXX.XX) appearing within your Outlook \"Recent Activity Page.\"<\/p>\n

So once again, hopefully this issue has finally been resolved systemically & globally.<\/p>\n

D. Horvitz<\/p>\n

I also added this same update to my original main MS Community posting.<\/p><\/blockquote>\n

Demnach sollte das Problem behoben sein. Kann das ein Betroffener best\u00e4tigen?<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Outlook streikt beim Mail-Versand? Microsoft hat SMTP deaktiviert (Juli 2022)<\/a>
\nNeue Kontosperrungen bei Outlook.com \u2013 l\u00e4uft Microsofts KI Amok, oder sind Konten kompromittiert?<\/a>
\nOutlook: Anmeldefehler seit dem letzten Juni 2022-Update<\/a>
\nExchange Online: Wechsel zu \"Modern Authentication\" bis Oktober 2022 erforderlich<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kurze Information an Nutzer, die private Microsoft-Konten nutzen (also keine selbst verwalteten Firmenkonten), und gleich als Frage formuliert. Erhaltet ihr aktuell verst\u00e4rkt Sicherheitswarnungen zu Outlook-Konten mit dem Hinweis, dass diese Konten nun gesperrt w\u00fcrden? Oft mit dem Hinweis, dass verd\u00e4chtige … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,908],"tags":[4338,215,24],"class_list":["post-270606","post","type-post","status-publish","format-standard","hentry","category-cloud","category-internet","tag-internet","tag-outlook","tag-problem"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270606","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=270606"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270606\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=270606"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=270606"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=270606"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}