{"id":14348,"date":"2025-06-27T12:23:37","date_gmt":"2025-06-27T12:23:37","guid":{"rendered":"https:\/\/newestek.com\/?p=14348"},"modified":"2025-06-27T12:23:37","modified_gmt":"2025-06-27T12:23:37","slug":"microsoft-lucke-ermoglicht-e-mail-versand-ohne-authentifizierung","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=14348","title":{"rendered":"Microsoft-L\u00fccke erm\u00f6glicht E-Mail-Versand ohne Authentifizierung"},"content":{"rendered":"<div>\n<div id=\"remove_no_follow\">\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<section class=\"wp-block-bigbite-multi-title\">\n<div class=\"container\"><\/div>\n<\/section>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-large\"><figcaption class=\"wp-element-caption\">Drucker und Scanner werden dank einer Schwachstelle in der Microsoft 365 Direct Send-Funktion zunehmend zu Mitteln f\u00fcr Hacker, um Phishing-Angriffe durchzuf\u00fchren.<\/figcaption><\/figure>\n<p class=\"imageCredit\">FabrikaSimf \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Das Forensik-Team von Varonis hat eine Schwachstelle entdeckt, die es internen Ger\u00e4ten wie Druckern erm\u00f6glicht, E-Mails ohne Authentifizierung zu versenden. Dem Bericht zufolgewurde die L\u00fccke bereits genutzt, um mehr als 70 Unternehmen, vorwiegend in den USA, anzugreifen. Dabei haben sich die Angreifer als interne Benutzer ausgegeben und Phishing-E-Mails versendet, ohne dass sie daf\u00fcr Konten kompromittieren mussten.<\/p>\n<p>Die Angriffskampagne war erfolgreich, da E-Mails, die aus Microsoft 365 (M365) versendet werden, weniger streng gepr\u00fcft werden als normale eingehende E-Mails.<\/p>\n<p>\u201eDiese Entdeckung ist ein klassischer Fall von Funktionalit\u00e4t versus Sicherheit\u201c, kommentiert Ensar Seker, CISO bei SOCRadar. \u201eDie Direct-Send-Funktion von Microsoft 365 wurde aus Gr\u00fcnden der Benutzerfreundlichkeit entwickelt, damit Ger\u00e4te wie Drucker oder Scanner E-Mails ohne Authentifizierung versenden k\u00f6nnen. Genau dieses Design \u00f6ffnet jedoch T\u00fcr und Tor f\u00fcr Missbrauch, wenn es falsch konfiguriert oder missverstanden wird\u201c, f\u00fcgt der Experte hinzu.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Spoofing \u201ebemerkenswert einfach\u201c<\/strong><\/h2>\n<p>M365 Direct Send ist nur f\u00fcr den internen Gebrauch bestimmt, aber f\u00fcr Hacker leicht zug\u00e4nglich, da keine Authentifizierung erforderlich ist. Angreifer ben\u00f6tigen keine Anmeldedaten, Tokens oder sogar Zugriff auf den Mandanten; sie ben\u00f6tigen lediglich ein paar \u00f6ffentlich zug\u00e4ngliche Details und ein wenig Talent zum Raten.<\/p>\n<p>Dies liegt daran, dass Direct Send einen Smart Host mit einem g\u00e4ngigen Format verwendet: <em>tenantname.mail.protection.outlook.com<\/em>. Die internen E-Mail-Adressformate von Unternehmen lassen sich oft leicht herausfinden oder aus \u00f6ffentlichen Quellen oder sozialen Medien extrahieren. Sobald ein Angreifer \u00fcber die Domain und eine g\u00fcltige E-Mail-Adresse verf\u00fcgt, kann er E-Mails versenden, die scheinbar aus dem Unternehmen stammen.<\/p>\n<p>In der von Varonis beobachteten Kampagne verwendete der Angreifer PowerShell, um E-Mails zu versenden, die wie Voicemail-Benachrichtigungen aussahen und einen PDF-Anhang mit einem QR-Code enthielten. Beim Anklicken wird das Opfer auf eine Website weitergeleitet, die M365-Anmeldedaten abfragt.<\/p>\n<p>Den Forschern zufolge funktionieren die Angriffe, da:<\/p>\n<ul class=\"wp-block-list\">\n<li>keine Anmeldungen oder Anmeldedaten erforderlich sind,<\/li>\n<li>der Smart Host E-Mails von jeder externen Quelle akzeptiert,<\/li>\n<li>als Absendereine beliebige interne Benutzeradresse genutzt werden kann, und<\/li>\n<li>die einzige Voraussetzung ist, dass der Empf\u00e4nger innerhalb der Kundenorganisation ist.<\/li>\n<\/ul>\n<p>Da die E-Mail \u00fcber die Microsoft-Infrastruktur geleitet wird und scheinbar aus dem Unternehmen stammt, umgeht sie au\u00dferdem herk\u00f6mmliche Sicherheitskontrollen. Darunter fallen auch die Filtermechanismen von Microsoft, die sie als interne E-Mail behandeln, sowie Tools von Drittanbietern, die verd\u00e4chtige Nachrichten anhand der Authentifizierung, der Routing-Muster oder der Reputation des Absenders kennzeichnen.<\/p>\n<p>\u201eDie Herausforderung besteht darin, dass viele Unternehmen entweder die Standardeinstellungen unver\u00e4ndert lassen, oder die Absenderberechtigungen nicht einschr\u00e4nken. Dadurch wird das Spoofing aus vermeintlich internen Quellen bemerkenswert einfach\u201c, erkl\u00e4rt der SOCRadar-CISO Seker.<\/p>\n<p>David Shipley von Beauceron Security merkt an, dass die L\u00fccke \u201enicht wirklich\u201c zur <a href=\"https:\/\/www.csoonline.com\/article\/3966122\/microsoft-sfi-update-five-of-28-security-objectives-nearly-complete.html\" target=\"_blank\">Microsoft Secure Futures Initiative<\/a> passt, der Kampagne des Unternehmens zur kontinuierlichen Sicherung seiner eigenen Sicherheit und der seiner Kunden. \u201eDiese Art von Cleverness ist das direkte Ergebnis des Katz-und-Maus-Spiels im Bereich E-Mail-Sicherheit\u201c.<\/p>\n<p>Da immer mehr Unternehmen Sicherheitsfunktionen wie Sender Policy Framework (SPF), Domain-based Message Authentication, Reporting and Conformance (DMARC) und DomainKeys Identified Mail (DKIM) einsetzen und in E-Mail-Filter investieren, wird regul\u00e4res Spoofing immer schwieriger.<\/p>\n<p>F\u00fcr Kriminelle seien sie im Grunde genommen ein leichtes Spiel, erg\u00e4nzt Shipley und betont:\u201eJeder, der [Direct Send] verwendet, sollte dies angesichts dieses Berichts schnellstm\u00f6glich \u00fcberpr\u00fcfen\u201c.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Worauf Sie achten sollten<\/strong><\/h2>\n<p>Um festzustellen, ob ein Missbrauch vorliegt, empfehlen die Varonis-Forscher, die Kopfzeilen von Nachrichten und auf auff\u00e4lliges Verhalten zu achten. Zu den Indikatoren in den Kopfzeilen von Nachrichten geh\u00f6ren externe IP-Adressen, die an den Smart Host gesendet werden, oder Fehler in SPF, DKIM oder DMARC f\u00fcr interne Dom\u00e4nen. Au\u00dferdem sollte die \u201eX-MS-Exchange-CrossTenant-Id\u201c mit der Mandanten-ID der Organisation \u00fcbereinstimmen.<\/p>\n<p>Zu den Verhaltensindikatoren k\u00f6nnen E-Mails geh\u00f6ren, die von Benutzern an sich selbst gesendet wurden, ungew\u00f6hnliche IP-Adressen, verd\u00e4chtige Anh\u00e4nge oder Dateinamen sowie PowerShell oder andere Befehlszeilen-User-Agents.<\/p>\n<p>Nach eigenen Angaben arbeitet <a href=\"https:\/\/techcommunity.microsoft.com\/blog\/exchange\/introducing-more-control-over-direct-send-in-exchange-online\/4408790\" target=\"_blank\" rel=\"noreferrer noopener\">Microsoft<\/a> daran, Direct Send standardm\u00e4\u00dfig zu deaktivieren, und dass Kunden eine statische IP-Adresse im SPF-Eintrag erzwingen k\u00f6nnen. Auf diese Weise soll Missbrauch beim Senden verhindert werden.<\/p>\n<p>Um hier proaktiv zu handeln, empfehlen die Forscher von Varonis IT-Verantwortlichen:<\/p>\n<ul class=\"wp-block-list\">\n<li>Implementieren Sie strenge DMARC- und Anti-Spoofing-Richtlinien.<\/li>\n<li>Markieren Sie nicht authentifizierte interne E-Mails zur \u00dcberpr\u00fcfung.<\/li>\n<li>Erzwingen Sie \u201eSPF Hardfail\u201c in Exchange Online Protection (EOP).<\/li>\n<li>Aktivieren Sie \u201eDirect Send ablehnen\u201c im Exchange Admin Center.<\/li>\n<li>Informieren Sie Benutzer \u00fcber die Risiken von Quishing-Angriffen (QR-Code).<\/li>\n<\/ul>\n<h2 class=\"wp-block-heading\"><strong>Mit dem Netzwerk verbundene Ger\u00e4te als \u201evollwertige Endpunkte\u201c behandeln<\/strong><\/h2>\n<p>F\u00fcr eine sichere Konfiguration von Direct Send geh\u00f6rt lauf Seker au\u00dferdem: Die f\u00fcr die Nutzung zugelassenen IP-Bereichem\u00fcssen eingegrenzt, strenge SMTP-Relay-Einschr\u00e4nkungen implementiert und Anomalien wie Ger\u00e4te, die an Verteilerlisten oder externe Dom\u00e4nen senden, \u00fcberwacht werden. Es sei auch wichtig, diese Techniken mit einer starken Durchsetzung von SPF, DKIM und DMARC zu kombinieren, was viele Unternehmen \u00fcbers\u00e4hen.<\/p>\n<p>Spam- und Phishing-Kampagnen \u00fcber Scanner und Drucker werden immer h\u00e4ufiger, weil \u201esie sich gut tarnen\u201c, so der SOCRadar-Experte. \u201eMitarbeiter sind daran gew\u00f6hnt, Benachrichtigungen \u00fcber gescannte Dokumente zu sehen, und hinterfragen deren Echtheit selten.\u201c Um dem entgegenzuwirken, sollten Unternehmen mit dem Netzwerk verbundene Ger\u00e4te als \u201evollwertige Endpunkte\u201c behandeln und sie mit Segmentierung, Protokollierung und Verhaltensrichtlinien ausstatten, um Missbrauch zu erkennen.<\/p>\n<p>Laut Seker ist es ein Problem der Transparenz. \u201eWenn Sie nicht wissen, wozu Ihre Ger\u00e4te in der Lage sind oder was sie tun d\u00fcrfen, k\u00f6nnen Sie sich nicht dagegen verteidigen. Der Missbrauch von Direct Send ist nur eine weitere Erinnerung daran, dass Angreifer keine Zero-Day-Exploits ben\u00f6tigen, wenn \u00fcberall Fehlkonfigurationen vorhanden sind.\u201c<\/p>\n<p>Roger Grimes, Data-Driven Defense Evangelist bei KnowBe4, weist jedoch darauf hin, dass solche Kampagnen trotz zunehmender H\u00e4ufigkeit nicht weit verbreitet sind. Das liege vor allem daran, dass die bereits von Hackern und Betr\u00fcgern eingesetzten Taktiken recht gut funktionieren. \u201eEs gibt keinen Grund, etwas Neues oder Schwierigeres zu versuchen, wenn die aktuellen Methoden den Betr\u00fcgern schon reich machen\u201c, so Grimes. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Drucker und Scanner werden dank einer Schwachstelle in der Microsoft 365 Direct Send-Funktion zunehmend zu Mitteln f\u00fcr Hacker, um Phishing-Angriffe durchzuf\u00fchren. FabrikaSimf \u2013 shutterstock.com Das Forensik-Team von Varonis hat eine Schwachstelle entdeckt, die es internen Ger\u00e4ten wie Druckern erm\u00f6glicht, E-Mails ohne Authentifizierung zu versenden. Dem Bericht zufolgewurde die L\u00fccke bereits genutzt, um mehr als 70 Unternehmen, vorwiegend in den USA, anzugreifen. Dabei haben sich die&#8230; <\/p>\n<p class=\"more\"><a class=\"more-link\" href=\"https:\/\/newestek.com\/?p=14348\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14348","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14348","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14348"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14348\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14348"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14348"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14348"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}