{"id":296541,"date":"2024-06-21T08:06:41","date_gmt":"2024-06-21T06:06:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=296541"},"modified":"2024-06-21T11:10:21","modified_gmt":"2024-06-21T09:10:21","slug":"spoofing-schwachstelle-ermglicht-e-mails-unter-microsoft-com-zu-senden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/21\/spoofing-schwachstelle-ermglicht-e-mails-unter-microsoft-com-zu-senden\/","title":{"rendered":"Spoofing-Schwachstelle ermöglicht E-Mails unter Microsofts Namen zu versenden"},"content":{"rendered":"

\"Mail\"[English<\/a>]Unsch\u00f6ne Geschichte: In Microsofts E-Mail-Diensten gibt es eine Schwachstelle, die es Dritten erm\u00f6glicht, E-Mails im Namen von Microsoft zu versenden. Microsoft hat meines Wissens diesen Bug best\u00e4tigt, bisher aber noch nicht gepatcht. Bedeutet, dass man mit Phishing-Mails von Microsoft-Konten rechnen sollte.<\/p>\n

<\/p>\n

Sicherheitsforscher st\u00f6\u00dft auf Spoofing-Bug<\/h2>\n

\"\"Sicherheitsforscher @slonser_ (aka Vsevolod Kokorin) von SolidLab ist vor einiger Zeit auf eine unsch\u00f6ne Geschichte im Zusammenhang mit Microsofts E-Mail-Diensten gesto\u00dfen. In nachfolgendem Tweet<\/a> schreibt er \"Ich habe eine Schwachstelle gefunden, die es erlaubt, eine Nachricht von einer beliebigen user@domain zu senden.\"<\/p>\n

\"Microsoft<\/a><\/p>\n

Gemeint ist, dass der Sicherheitsforscher einen Bug in den E-Mail-Diensten von Microsoft gefunden hat, der es erlaubt, Dritten eine Mail unter einer beliebigen Domain (z.B. @microsoft.com) zu versenden. Wer eine solche Mail erh\u00e4lt, muss davon ausgehen, dass diese von Microsoft stammt.<\/p>\n

Aus dem Tweet gehen nicht so viele Details hervor, aber der Sicherheitsforscher hat Techcrunch kontaktiert, die einige Details in diesem Beitrag<\/a> offen legen (ein Leser hat in diesem Kommentar<\/a> auf den Techcrunch-Artikel hingewiesen). Dort wird ausgef\u00fchrt, dass der vom Sicherheitsforscher gefundene Bug es jedem erm\u00f6glicht, Mails unter einem Microsoft-Firmen-E-Mail-Konto (@microsoft.com) zu versenden. Dadurch erhielten Phisher ein wirksames Instrument, um Phishing-Versuche glaubw\u00fcrdiger erscheinen zu lassen.<\/p>\n

Der Sicherheitsforscher hat keine Details ver\u00f6ffentlicht, um einen Missbrauch zu verhindern, versuchte das Ganze aber mit Microsoft zu kl\u00e4ren. Er meldete den Bug an das Sicherheitsteam von Microsoft. Als Antwort kam, dass man den Bug nicht reproduzieren k\u00f6nnte. Daraufhin hat der Sicherheitsforscher noch ein Video mit Proof-of-concept (PoC) an Microsoft geschickt, ohne einen Fortschritt in der Sache vermelden zu k\u00f6nnen.<\/p>\n

An dieser Stelle beschloss Vsevolod Kokorin die Kommunikation einzustellen und hat obigen Tweet ver\u00f6ffentlicht. Der Tweet ist ziemlich eingeschlagen (mehr als 120.000 Abrufe), und der Sicherheitsforscher hat mit Techcrunch gesprochen, die dann einige Details des Falls \u00f6ffentlich machten. Laut Kokorin funktioniert der Fehler nur, wenn die E-Mail an Outlook-Konten gesendet wird. Das betr\u00e4fe aber immer noch 400 Millionen Konten.<\/p>\n

Das Problem ist dabei, dass als Absenderadresse beliebige Domain-Namen vergeben werden k\u00f6nnen. Kokorin hat nach eigenen Angaben zuletzt am 15. Juni 2024 Kontakt mit Microsoft gehabt. Microsoft reagierte nicht auf die Anfrage von TechCrunch nach einem Kommentar. Bisher ist der Bug wohl noch nicht behoben, aus diesem Grund werden keine technischen Details des Fehlers bekannt gegeben, um einen Missbrauch zu verhindern.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Unsch\u00f6ne Geschichte: In Microsofts E-Mail-Diensten gibt es eine Schwachstelle, die es Dritten erm\u00f6glicht, E-Mails im Namen von Microsoft zu versenden. Microsoft hat meines Wissens diesen Bug best\u00e4tigt, bisher aber noch nicht gepatcht. Bedeutet, dass man mit Phishing-Mails von Microsoft-Konten rechnen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[4353,4328],"class_list":["post-296541","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-mail","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296541","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=296541"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296541\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=296541"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=296541"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=296541"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}