Microsoft-Schwachstelle lässt Phisher Mails im Namen von Microsoft verschicken
Microsoft hat sich dem Problem mittlerweile angenommen.
Wenn eine Mail mit Microsoft als Absender im Posteingang auftaucht, dann werden das viele Nutzerinnen und Nutzer zu Recht ernst nehmen. Der Sicherheitsexperte Vsevolod Kokorin von Solidlabs ließ jedoch in diesem Zusammenhang vor wenigen Tagen auf dem Nachrichtendienst X aufhorchen.
Der Forscher berichtete davon, eine Lücke in Microsoft Outlook gefunden zu haben und damit von jeder beliebigen E-Mail-Adresse Post verschicken zu können. In seinem Beispiel war das [email protected]. Daraufhin kontaktierte Kokorin den US-Konzern, wurde aber trotz eines beigelegten Proof of Concept, der seine Vorgehensweise detailliert erklärte, mehrfach abgewiesen worden. Der Fehler sei laut Microsoft nicht reproduzierbar, berichtet der Forscher. Daraufhin gab der Forscher seine Bemühungen auf, den US-Konzern weitere Details zu nennen.
Auf X wollte der Forscher nicht erklären, wie er die Schwachstelle finden konnte. "Ich möchte nicht, dass meine Technik für illegale Zwecke verwendet wird", antwortet er auf eine in den Kommentaren zu findende Frage.
Spoofing
Eine Mail-Adresse zu "spoofen", was in diesem Fall passiert ist, beziehungsweise generell der Begriff Spoofing steht für in der IT genutzte Täuschungsmethoden in Computernetzwerken zur Verschleierung der eigenen Identität. Kürzlich erklärte "Techcrunch", wie eine Sicherheitslücke das Spoofen von Mails von Microsoft-Mitarbeiterinnen ermöglichte. Generell scheinen Outlook-Konten von diesen Lücken betroffen zu sein, und das trifft weltweit mehrere Hundert Millionen Menschen.
Mittlerweile hat Microsoft zumindest auf Kokorin reagiert. Laut dem Forscher habe sich der US-Konzern bei ihm gemeldet und den geschilderten Fall ernst genommen. Man habe sogar "ältere Berichte im Zusammenhang mit E-Mails" aufgegriffen, die Kokorin in der Vergangenheit aufgedeckt hatte. Eine Antwort, wann das Problem behoben wird, blieb der US-Konzern allerdings schuldig. (red, 22.6.2024)