![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Office1.jpg\")
[English]Die Phishing-Warnung in Microsoft 365 l\u00e4sst sich austricksen, so dass der Nutzer z.B. bei Microsoft Outlook nicht vor entsprechenden Mails gewarnt wird. Selbst verschl\u00fcsselte und signierte Mails sollen sich vort\u00e4uschen lassen. Microsoft wird derzeit wohl keine Fixes f\u00fcr diese Schwachstellen ver\u00f6ffentlichen.<\/p>\n
<\/p>\n
Nutzer von Microsofts Outlook-Client erhalten eine Warnung \"Sie erhalten nicht oft E-Mails von xyz@example.com. Erfahren Sie, warum dies wichtig ist\", wenn eine E-Mail erstmals von einer externen Adresse eintrifft. Das ist eine von Redmonds Anti-Phishing-Ma\u00dfnahmen, die in Exchange Online Protection (EOP) und Microsoft Defender f\u00fcr Unternehmen, die Office 365 nutzen, verf\u00fcgbar sind.<\/p>\n Die Information, dass eine solche Warnung im E-Mail-Client anzeigt werden soll, findet sich in einer Tabelle im HTML-Quellcode der betreffenden E-Mail. Die Sicherheitsforscher zeigen in ihrem Blog-Beitrag, dass es einer simplen CSS-Anweisung bedarf, damit die Inhalt der Tabelle, und damit die Phishing-Warnung, nicht mehr angezeigt wird. Im Blog-Beitrag wird gezeigt, wie die Info als wei\u00dfe Schrift auf wei\u00dfem Hintergrund unsichtbar gemacht werden kann. <\/p>\n In einem weiteren Schritt haben die Sicherheitsforscher untersucht, ob sich die Informationen, dass eine E-Mail signiert und verschl\u00fcsselt ist, eventuell auch vort\u00e4uschen l\u00e4sst. Mails erhalten so eine h\u00f6here Reputation beim Empf\u00e4nger. Auch hier waren die Sicherheitsforscher in der Lage, die Icons, die bei solchen Mails in Outlook angezeigt werden, mittels HTML- und CSS-Anweisungen im Client einzublenden. <\/p>\n Die Anti-Phishing-Funktionen in Microsoft 365 und Outlook sind in meinen Augen nur \"Eye-Candy\", die eine Sicherheit vorgaukeln, die nicht vorhanden ist. \u00c4hnlich scheinen auch Microsofts Sicherheitsverantwortliche zu sehen. Denn wenn es nicht nur um Marketing, sondern um eine Reaktion auf Sicherheitsmeldungen geht, sieht die Welt g\u00e4nzlich anders aus.<\/p>\n Nach der Entwicklung eines Proof of Concept und der Vorbereitung eines Hinweises haben die Sicherheitsforscher William Moody und Wolfgang Ettlinger Microsoft \u00fcber das Microsoft Researcher Portal (MSRC) auf diese Probleme aufmerksam gemacht. Microsoft hat sich entschieden, dieses Verhalten vorerst nicht zu beheben. Hier die Standardantwort des Microsoft MSRC vom 14.02.2024:<\/p>\n We determined your finding is valid but does not meet our bar for immediate servicing considering this is mainly applicable for phishing attacks. However, we have still marked your finding for future review as an opportunity to improve our products.<\/p>\n<\/blockquote>\n Das Problem wird zwar best\u00e4tigt, erf\u00fcllt aber nicht die Anforderungen an eine sofortige Bearbeitung durch Microsoft – es handele sich ja \"haupts\u00e4chlich um Phishing-Angriffe\", was soll da schon passieren. Man nehme den Hinweis jedoch f\u00fcr eine k\u00fcnftige \u00dcberpr\u00fcfung als M\u00f6glichkeit zur Verbesserung unserer Produkte auf. Da Outlook Classic momentan zugunsten des neuen Outlook Clients (App) etwas ins Hintertreffen ger\u00e4t, d\u00fcrfte sich so bald nichts \u00e4ndern. (via<\/a>, via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Die Phishing-Warnung in Microsoft 365 l\u00e4sst sich austricksen, so dass der Nutzer z.B. bei Microsoft Outlook nicht vor entsprechenden Mails gewarnt wird. Selbst verschl\u00fcsselte und signierte Mails sollen sich vort\u00e4uschen lassen. Microsoft wird derzeit wohl keine Fixes f\u00fcr diese Schwachstellen … Weiterlesen Sicherheitsforscher von Certitude haben einige der von Microsoft 365 (ehemals Office 365) eingesetzten Anti-Phishing-Ma\u00dfnahmen sowie deren Schwachstellen untersucht. Dabei konnte man ein Problem identifizieren, das es b\u00f6swilligen Akteuren erm\u00f6glicht, die Anti-Phishing-Ma\u00dfnahmen zu umgehen. William Moody von Certitude haben ihre Erkenntnisse im Blog-Beitrag Exploring Anti-Phishing Measures in Microsoft 365<\/a> ver\u00f6ffentlicht. <\/p>\n
Outlook beim Phishing ausgetrickst<\/h2>\n
Microsoft sieht keinen Handlungsbedarf<\/h2>\n
\n