Thought Leadership
Cyberkriminelle nutzen eine Schwachstelle aus, um Phishing-E-Mails über eine vertrauenswürdige, interne E-Mail-Adresse von Microsoft zu versenden.
Cyberkriminelle nutzen seit mehreren Monaten eine gravierende Schwachstelle im E-Mail-Infrastruktursystem des US-amerikanischen Softwarekonzerns Microsoft aus. Wie TechCrunch berichtet, gelingt es Spammern und Phishing-Akteuren, betrügerische Nachrichten über eine offizielle und interne E-Mail-Adresse des Unternehmens zu versenden. Konkret betroffen ist die Absenderadresse [email protected]. Diese spezifische Adresse wird von Microsoft regulär für den Versand geschäftskritischer Systembenachrichtigungen eingesetzt, darunter die Übermittlung von Codes für die Multifaktor-Authentifizierung sowie dringende Warnungen bezüglich ungewöhnlicher Kontenaktivitäten.
Da Endanwender und Sicherheitsfilter diesen administrativen Nachrichten ein hohes inhärentes Vertrauen entgegenbringen, erweist sich die Kampagne als äußerst effektiv bei der Täuschung von Empfängern. Die gemeinnützige Anti-Spam-Organisation The Spamhaus Project bestätigte, dass diese betrügerischen Aktivitäten bereits seit geraumer Zeit im Internet beobachtet werden und ein wachsendes Risiko für die Cybersicherheit von Unternehmenskonten darstellen.
Manipulation über das Registrierungsverfahren von Microsoft Entra ID
Die technische Grundlage für diesen Missbrauch liegt nicht in einer Kompromittierung der internen Server im Sinne eines klassischen Einbruchs, sondern in der Ausnutzung einer logischen Schwachstelle in den Bereitstellungsvorlagen für Cloud-Kunden. IT-Sicherheitsanalysen zeigen, dass Angreifer sich als neue Kunden registrieren und eine temporäre Testumgebung innerhalb von Microsoft Entra ID, dem ehemaligen Azure Active Directory, einrichten.
Der eigentliche Angriffsvektor verbirgt sich im Bereich des sogenannten Tenant Branding. Die Täter navigieren in den Einstellungen ihrer neu erstellten Cloud-Umgebung zu den Eigenschaften und modifizieren das Feld für den Organisationsnamen. Anstelle eines regulären Firmennamens tragen die Kriminellen dort einen betrügerischen Text ein, beispielsweise eine gefälschte Benachrichtigung über eine vermeintliche Bitcoin-Transaktion oder die Aufforderung, eine Support-Hotline anzurufen.
Im nächsten Schritt nutzen die Angreifer das offizielle Portal zur Registrierung von Sicherheitsinformationen. Sie fügen innerhalb ihrer manipulierten Umgebung ein neues Konto hinzu und tragen bei der Abfrage der alternativen E-Mail-Adresse gezielt die Adresse des gewünschten Opfers ein. Dieses Verfahren zwingt die automatisierten Systeme von Microsoft dazu, eine Verifizierungs-E-Mail an das Vermögen des Opfers zu senden, um die Inhaberschaft der Adresse zu überprüfen. Da die automatisierte E-Mail-Vorlage von Microsoft so konzipiert ist, dass sie den vom Kunden definierten Organisationsnamen automatisch in die Betreffzeile oder den Textkörper einbettet, erhält das Opfer eine Nachricht, die den betrügerischen Text der Angreifer enthält, aber von den legitimen Microsoft-Servern generiert und versendet wurde.
Etablierte E-Mail-Sicherheitsstandards und Gateways versagen
Diese Methode der Systembenachrichtigungs-Ausnutzung stellt bestehende Sicherheitsarchitekturen vor erhebliche Erkennungsprobleme. Da die E-Mails direkt von der echten Infrastruktur von Microsoft stammen, passieren sie alle gängigen Authentifizierungsprüfungen wie das Sender Policy Framework, DomainKeys Identified Mail sowie Domain-based Message Authentication, Reporting, and Conformance ohne jegliche Fehlermeldung. Die Nachrichten sind technisch absolut authentisch. Ein weiteres Problem besteht darin, dass die meisten Secure Email Gateways in Unternehmen so konfiguriert sind, dass sie die Absenderadresse [email protected] auf Ausnahmelisten setzen. Dies geschieht, um sicherzustellen, dass Mitarbeiter ihre notwendigen Authentifizierungscodes für den täglichen Systemzugang ohne Verzögerung erhalten.
Zusätzlich verwenden die Angreifer hochentwickelte Verschleierungstechniken, um automatisierte Inhaltsfilter zu umgehen. In den betrügerischen Texten werden standardmäßige Buchstaben systematisch durch optisch identische Unicode-Zeichen oder Homoglyphen ersetzt. Für das menschliche Auge bleibt der Text fehlerfrei lesbar, während automatisierte Keyword-Blocker und Systeme zur optischen Zeichenerkennung die Phishing-Phrasen aufgrund der veränderten Binärcodes nicht als Bedrohung identifizieren können. Da die E-Mails zudem oft keine schadhaften Dateianhänge oder direkten Links zu Phishing-Webseiten enthalten, sondern stattdessen Telefonnummern oder Anweisungen zur manuellen Suche präsentieren, fehlt den Filtern jeglicher technischer Indikator für eine Kompromittierung.
Reaktionen des Herstellers und strukturelle Risiken bei Cloud-Anbietern
Gegenüber Technologie-Medien erklärte ein PR-Vertreter von Microsoft, dass das Unternehmen die Phishing-Berichte aktiv untersuche und Maßnahmen ergreife, um die Sicherheit der Kunden zu gewährleisten. Zu den eingeleiteten Schritten gehört das Sperren und Entfernen von Konten, welche gegen die Nutzungsbedingungen verstoßen, sowie die kontinuierliche Weiterentwicklung der internen Erkennungs- und Blockiermechanismen. Beobachtungen in sozialen Netzwerken und Analysen von IT-Sicherheitsexperten deuten jedoch darauf hin, dass diese Problematik kein isoliertes Phänomen von Microsoft darstellt.
Mehrere Anwender berichten, dass auch die automatisierten Benachrichtigungssysteme anderer globaler Software- und Cloud-Anbieter für ähnliche Spam-Aktionen missbraucht werden. Überall dort, wo transaktionale E-Mails benutzerdefinierte Eingabefelder ohne hinreichende Validierung und Filterung in offizielle Systembenachrichtigungen spiegeln, besteht das Risiko eines Missbrauchs der Absender-Reputation. Für IT-Verantwortliche bedeutet dies, dass das Vertrauen in E-Mail-Absenderadressen auch bei erfolgreicher kryptografischer Verifizierung im modernen Enterprise-Umfeld grundlegend hinterfragt werden muss.
