Microsofts „Attack Simulation Training“ soll Mitarbeiter von Unternehmen eigentlich zu Phishing-Angriffen schulen. Ein Fehler führte zu einer schwerwiegenden Sicherheitslücke – ein ernsthaftes Risiko mit dem Potenzial, tausende Nutzer der Gefahr von Phishing-Angriffen durch Cyberkriminelle auszusetzen.
Die Software „Attack Simulation Training“ von Microsoft, die entwickelt wurde, Mitarbeiter von Unternehmen über Phishing-Angriffe zu schulen, hätte beinahe ihre Kunden erheblichen Sicherheitsrisiken ausgesetzt. Eigentlich dient das Programm als Übungsfeld für Mitarbeitende, um potenzielle Bedrohungen zu erkennen und auf sie zu reagieren. Der Fehler, der zur Sicherheitslücke führte, stellte ein ernsthaftes Risiko dar und hatte das Potenzial, tausende ahnungsloser Nutzer Cyberkriminellen auszusetzen.
Aufgedeckt wurde diese schwerwiegende Sicherheitslücke von Vaisha Bernard, Chef-Hacker des europäischen Cyber-Sicherheitsunternehmens Eye Security, der eine entscheidende Rolle dabei spielte, Microsoft bei der Behebung der Schwachstelle zu unterstützen. Ursprünglich überlegte Bernard, das „Attack Simulation Training” ins Portfolio von Eye Security für Kunden aufzunehmen, weshalb er das Programm testete. Dabei entdeckte er eine Sicherheitslücke durch eine Phishing-E-Mail-Vorlage innerhalb des Programms.
Ein Link in der Vorlage führte ihn zu einer ’nicht existierenden‘ Confluence-Seite. Bernard registrierte die Seite auf seinen Namen und erhielt daraufhin E-Mails von Benutzern aus der ganzen Welt, die Zugriff auf die Seite forderten. Dabei bemerkte Bernard ein massives Problem: Die Vorlagen enthielten nicht nur Links zu nicht registrierten Seiten und Domänen, auch die von Microsoft verwendeten E-Mail-Adressen für das Versenden von Phishing-Simulationen waren mit nicht registrierten Domänen verknüpft.
Das bedeutete: Jeder konnte sich für 10 Dollar ganz einfach für die Domäne registrieren. Bernard registrierte einige Domänen und begann, Antworten auf die Phishing-Simulationen von Mitarbeitern in Unternehmen weltweit zu erhalten. Neben Mitarbeitenden, die wussten, dass es sich um eine Betrugsmasche handelte, gab es viele, die darum baten, eine PDF-Datei der simulierten Malware erneut zu senden.
Sicherheitslücke hätte alle Schutzmechanismen umgangen
„Natürlich habe ich Microsoft sofort informiert, und gemeinsam haben wir das Problem inzwischen behoben. Wäre mir ein Cyberkrimineller zuvor gekommen, hätten tausende ahnungsloser Mitarbeiter von Unternehmen weltweit – Microsoft-Kunden – auf verdächtige Links geklickt und wären Opfer von Phishing-Angriffen geworden. Ironischerweise hätte sich Microsofts “Attack Simulation Training” selbst in ein echtes Phishing-Angriffsprogramm verwandelt, das alle Schutzmechanismen umgangen hätte”, so Bernard.
#EyeSecurity
