E-Mail war lange Zeit ein wichtiges Sicherheitsrisiko. Das Demokratische Nationalkomitee und die Kampagne von Hillary Clinton wurden vor den US-Wahlen 2016 von russischen Hackern durch E-Mail-bezogene Phishing-Angriffe infamös kompromittiert. Während die Kampagne 2020 in vollem Gange ist, eröffnet ein geflickter Fehler in Microsoft Outlook den Angreifern immer noch eine Öffnung.
Der Fehler, der erstmals im Oktober 2017 gemeldet und behoben wurde, befindet sich in einer wenig bekannten Outlook-Funktion namens Startseite, einer Registerkarte, die als Startbildschirm des Benutzers fungiert und externe Inhalte beispielsweise von einem Unternehmenswebserver oder einer öffentlichen Website lädt. In der Praxis haben viele Outlook-Benutzer keine Ahnung, dass die Homepage vorhanden ist, da sie Outlook für ihre Posteingänge öffnen. Hacker erkannten jedoch, dass sie einen Fehler in der Homepage ausnutzen und manipulieren konnten, um böswilligen Inhalt zu laden, wenn sie die Anmeldeinformationen eines Kontos abrufen konnten. Von dort aus konnten sie aus der Ferne Exploit-Code ausführen, um die Abwehrkräfte von Outlook zu überwinden und das Betriebssystem eines Geräts zu steuern. Der gesamte Angriff ist unauffällig, da er wie legitimer Outlook-Datenverkehr aussieht. Sobald es eingerichtet ist, bleibt die Hintertür auch nach einem Neustart des betroffenen Geräts bestehen.
Obwohl Microsoft die Sicherheitsanfälligkeit 2017 ursprünglich als gering eingestuft hatte und nicht angab, dass der Fehler in der Wildnis ausgenutzt wurde, warnten Sicherheitsfirmen schnell davor, dass sie Hinweise auf Missbrauch durch Nationalstaaten gesehen hatten, insbesondere durch die mit dem Iran verbundene Hacking-Gruppe APT33. und später eine andere iranische Gruppe, APT34. Im Juli dieses Jahres veröffentlichte das US-amerikanische Cyberkommando eine Warnung vor der anhaltenden Ausnutzung der Sicherheitsanfälligkeit. Im Oktober teilte Microsoft mit, dass iranische Hacker auf die Office 365-E-Mail-Konten einer Präsidentschaftskampagne im Jahr 2020 abgezielt hätten, Berichten zufolge auf die Trump-Kampagne. Dieser besondere Vorfall betraf wahrscheinlich nicht speziell den Homepage-Fehler, unterstreicht jedoch den Fokus auf das Hacken von E-Mails. Laut FireEye wurde die Sicherheitsanfälligkeit der Startseite weiterhin von einer Reihe verschiedener Akteure, einschließlich der Nationalstaaten, aktiv ausgenutzt.
"Wir sehen, dass Verteidiger es nicht wirklich verstehen - dies ist auch für Sicherheitsunternehmen ziemlich schwer zu finden", sagt Nick Carr, Direktor für gegnerische Methoden bei FireEye. "Es ist etwas, das wir ziemlich oft in der Natur sehen, ohne wirksame Abhilfemaßnahmen oder Patches für den Exploit."
Also, über diesen Patch. Microsoft hat 2017 eine Fehlerbehebung veröffentlicht, die verständlicherweise den Eindruck erweckt, dass sich Unternehmen und Kampagnen keine Sorgen um die Bedrohung machen müssen, wenn ihr Outlook auf dem neuesten Stand ist. Das Update reduziert die Funktionalität der Homepage im Wesentlichen durch Änderungen an der so genannten Windows-Registrierung, einer Datenbank mit den zugrunde liegenden Einstellungen für das Betriebssystem und andere Apps. Forscher haben jedoch herausgefunden, dass es auch nach der Installation des Patches einfache Möglichkeiten gibt, diese Registrierungsänderungen im Wesentlichen rückgängig zu machen oder sie zu umgehen. Microsoft hat keine Anforderung von WIRED für einen Kommentar zurückgegeben.
"Es gibt einen Patch, der einige Funktionen deaktiviert", sagt Matthew McWhirt, Senior Manager bei FireEye Mandiant. "Meistens verbirgt es die Möglichkeit, eine Homepage-URL-Einstellung in der Outlook-Benutzeroberfläche zu konfigurieren, aber es kann wieder aktiviert werden. Und selbst mit dem Patch gibt es noch andere Möglichkeiten, selbst wenn Sie keinen seiner Schutzmaßnahmen aufheben Es gibt also einige zusätzliche Schutzmaßnahmen, die wir Verteidigern empfehlen."
"Ich bin immer noch verärgert, dass sie unsere Technik gefunden haben und wir unseren Code verloren haben."
Dave Kennedy, TrustedSec
In FireEyes Beitrag wird ein Beispiel für eine kürzlich von der Firma in freier Wildbahn entdeckte Outlook-Homepage-Ausbeutung vorgestellt. Dies ist ein besonders gutes Beispiel für einen cleveren Umgang mit dem Microsoft-Patch, der auch auf das Potenzial vieler Variationen hinweist - ein Hinweis darauf, dass sich Angreifer noch lange auf diesen Exploit verlassen können. Es stellte sich jedoch heraus, dass dieses Eindringen nicht von einem Nationalstaat begangen wurde. Stattdessen kam es von einem roten Team oder einer Gruppe von Hackern, die von einem Unternehmen oder einer anderen Organisation angeheuert wurden, um Schwachstellen in der digitalen Verteidigung zu finden.
Der "Angriff" kam von der Penetrationstestfirma TrustedSec, die einen Job hatte.
"Wir verwenden Outlook-Startseiten-Angriffe seit mehreren Jahren in unseren roten Teams", sagt Dave Kennedy, Gründer und CEO von TrustedSec. "Unser Ziel ist es, reale Angriffe und gegnerische Fähigkeiten gegen unsere Kunden einzusetzen, und Startseiten-Angriffe bleiben in fast jeder Organisation weitgehend unbemerkt. Wenn Sie ein Microsoft Office-Produkt haben, das Änderungen an der Office-Registrierung vornimmt, ist es für Verteidiger sehr schwierig, diese auszuwählen." auf, weil es legitim aussieht."
Carr von FireEye weist außerdem darauf hin, dass sich Verteidiger nicht nur auf den Patch zur Behebung des Problems verlassen, sondern sich auch generell darauf konzentrieren können, einen E-Mail-Dienst wie Office 365 in der Cloud zu überwachen und zu verteidigen. Aber Desktop-Anwendungen wie Outlook können Cloud-Diensten eine lokale Netzwerkpräsenz verleihen.
