Autor: Firma Eye Security

Schwerwiegende Sicherheitslücke bei Microsoft

Schwerwiegende Sicherheitslücke bei Microsoft

Microsofts Software "Attack Simulation Training" soll Mitarbeiter von Unternehmen eigentlich zu Phishing-Angriffen schulen. Ein Fehler führte zu einer schwerwiegenden Sicherheitslücke – ein ernsthaftes Risiko mit dem Potenzial, tausende Nutzer der Gefahr von Phishing-Angriffen durch Cyberkriminelle auszusetzen. 

Die Software "Attack Simulation Training" von Microsoft, die entwickelt wurde, Mitarbeiter von Unternehmen über Phishing-Angriffe zu schulen, hätte beinahe ihre Kunden erheblichen Sicherheitsrisiken ausgesetzt. Eigentlich dient das Programm als Übungsfeld für Mitarbeitende, um potenzielle Bedrohungen zu erkennen und auf sie zu reagieren. Der Fehler, der zur Sicherheitslücke führte, stellte ein ernsthaftes Risiko dar und hatte das Potenzial, tausende ahnungsloser Nutzer Cyberkriminellen auszusetzen.

Aufgedeckt wurde diese schwerwiegende Sicherheitslücke von Vaisha Bernard, Chef-Hacker des europäischen Cyber-Sicherheitsunternehmens Eye Security, der eine entscheidende Rolle dabei spielte, Microsoft bei der Behebung der Schwachstelle zu unterstützen. Ursprünglich überlegte Bernard, das „Attack Simulation Training” ins Portfolio von Eye Security für Kunden aufzunehmen, weshalb er das Programm testete. Dabei entdeckte er eine Sicherheitslücke durch eine Phishing-E-Mail-Vorlage innerhalb des Programms.  

Anti-Phishing Schulungsprogramm wird zu Phishing-Angriffsprogramm

Ein Link in der Vorlage führte ihn zu einer ’nicht existierenden‘ Confluence-Seite. Bernard registrierte die Seite auf seinen Namen und erhielt daraufhin E-Mails von Benutzern aus der ganzen Welt, die Zugriff auf die Seite forderten. Dabei bemerkte Bernard ein massives Problem: Die Vorlagen enthielten nicht nur Links zu nicht registrierten Seiten und Domänen, auch die von Microsoft verwendeten E-Mail-Adressen für das Versenden von Phishing-Simulationen waren mit nicht registrierten Domänen verknüpft.

Das bedeutete: Jeder konnte sich für 10 Dollar ganz einfach für die Domäne registrieren. Bernard registrierte einige Domänen und begann, Antworten auf die Phishing-Simulationen von Mitarbeitern in Unternehmen weltweit zu erhalten. Neben Mitarbeitenden, die wussten, dass es sich um eine Betrugsmasche handelte, gab es viele, die darum baten, eine PDF-Datei der simulierten Malware erneut zu senden.  

Sicherheitslücke hätte alle Schutzmechanismen umgangen 

"Natürlich habe ich Microsoft sofort informiert, und gemeinsam haben wir das Problem inzwischen behoben. Wäre mir ein Cyberkrimineller mir zuvor gekommen, hätten tausende ahnungsloser Mitarbeiter von Unternehmen weltweit – Microsoft-Kunden – auf verdächtige Links geklickt und wären Opfer von Phishing-Angriffen geworden. Ironischerweise hätte sich Microsofts “Attack Simulation Training” selbst in ein echtes Phishing-Angriffsprogramm verwandelt, das alle Schutzmechanismen umgangen hätte”, so Bernard. 

Über die Eye Security GmbH

Eye Security wurde 2020 von Job Kuijpers, Vincent van de Ven und Piet Kerkhofs gegründet. Die ehemaligen Mitarbeiter des Nachrichten- und Sicherheitsdienstes der Niederlande stellen mit ihrem Team hochwertige Sicherheitslösungen für KMU in einem Komplettpaket zur Verfügung. Damit möchte das Unternehmen alle KMU in Europa vor Cyberattacken schützen. www.eye.security/de

Firmenkontakt und Herausgeber der Meldung:

Eye Security GmbH
Königsallee 2b
40212 Düsseldorf
Telefon: +49 (211) 81995603
https://www.eye.security/de/

Ansprechpartner:
Kristina Gössler
Startup Communication GmbH
Telefon: +49 (173) 5849-053
E-Mail: kg@startup-communication.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber.