Nach der Attacke von Midnight Blizzard im Januar warnte nun Microsoft seine Kunden im Juni per Erklärungs-E-Mail. Dumm nur, dass solche eine wichtige Nachricht in Spam landet, da Microsoft sie anscheinend ohne E-Mail-Authentifizierung wie SPF oder DKIM verschickt hat. Sicherheitsexperten schlagen in vielen Kanälen Alarm.
Microsoft wurde bereits am 12. Januar 2024 von Midnight Blizzard angegriffen. Die von Russland gesponserten Akteure hatten wohl Zugriff auf E-Mail-Konten von hochrangigen Mitarbeitern. Allerdings sollen die Angreifer keinen Zugriff auf die Kundenumgebungen gehabt haben. Microsoft hatte den Angriff aufgearbeitet und im Juni viele Kunden über die Sicherheitsverletzung informiert.
Wichtige Microsoft-E-Mail hat keine Authentifizierung wie SPF oder DKIM
Sicherheitsexperten wie Kevin Beaumont warnen nun via LinkedIn die Nutzer, dass wichtige Informationen zur Attacke nicht über das sichere Microsoft 365-Portal kommen, sondern als E-Mail von “[email protected]” an die Mandantenadministratoren. Auch der Security Spezialist Thanos Vrachnos schildert auf LinkedIn seine Erfahrungen bei Kunden: “Mehrere meiner Kunden haben diese E-Mail erhalten. Alle waren besorgt, dass es sich um Phishing handelte, da gemäß den E-Mail-Headern keine SPF & DKIM verwendet wurden und die in der E-Mail-Nachricht erwähnte URL als einfache (fast dummy) Azure PowerApp mit einem einfachen DV-SSL-Zertifikat gehostet wurde, das von einer anderen vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, und ohne jegliche Organisationsinformationen (alle anderen MS-Domänen haben OV/EV-Zertifikate, die von Microsoft als öffentlich vertrauenswürdige Zertifizierungsstelle ausgestellt wurden)… Nun, auf den ersten Blick erweckte dies kein Vertrauen bei den Empfängern, die anfingen, in Foren nachzufragen oder sich an Microsoft-Kontomanager zu wenden, um schließlich zu bestätigen, dass die E-Mail legitim war… Seltsame Art und Weise für einen Anbieter wie diesen, ein wichtiges Problem an potenziell betroffene Kunden zu kommunizieren.”
Um das ganze Chaos perfekt zu machen hat der Microsoft-Support auch noch Anfragen zur besagten E-Mail von Verantwortlichen so auf Reddit beantwortet: “Ich habe den Support kontaktiert und gefragt, ob es echt sei, und die einzige Antwort war: „Uns ist keine E-Mail-Adresse von [email protected] bekannt . Klicken Sie in E-Mails nicht auf Links.“