Die Sicherheitsforscher von Certidude sind immer aufmerksam, wenn sie normale Funktionen von laufenden Betriebssystemen testen. Jetzt haben sie es geschafft, eine Phishing-Warnung in Outlook aus der jeweiligen Mail auszublenden – ganz einfach und problemlos per CSS.

Die Warnung taucht immer dann auf , wenn ein Nutzer eine Mail von einem unbekannten oder wenig frequentierten Absender erhält Sie lautet dann: „Sie erhalten nicht oft E-Mails von xyz@beispiel.com. Erfahren Sie, warum dies wichtig ist“ und verlinkt auf eine Informationsseite.

Das Problem fiel während eines Routinechecks von Anti Phishing-Maßnahmen in Microsoft 365 auf. Das Team suchte gezielt nach Schwachstellen und fand diese potentielle Sicherheitslücke. Laut des Berichts von Certidude ist diese Meldung als im HTML-Code als Table-Element direkt vor dem Textkörper der Mail platziert. Die Forscher änderten die Schrift -und Hintergrundfarbe auf Weiß und blendeten so die Warnung aus. Sie wurde praktisch unsichtbar für den Empfänger. Zusätzlich konnten sie eine Signatur und Verschlüsselung inklusive der passenden Symbole ( Schloss und rotes Siegel) vortäuschen, was dem Empfänger in falscher Sicherheit wiegen könnte.

Die Sicherheitsforscher schrieben dazu:„Im Vergleich zu einer tatsächlich signierten und verschlüsselten E-Mail werden aufmerksame Benutzer natürlich einen Unterschied in der Formatierung bemerken.“ Doch: „Es braucht nur eine Person, die auf den Phishing-Angriff hereinfällt, damit ein Angreifer in der Organisation Fuß fassen kann“.

Microsoft wiegelt ab: keine Sicherheitslücke

Microsoft bekam den Bericht von Certidude zugesendet, reagierte jedoch eher verhalten und etwas desinteressiert. „ Wir haben festgestellt, dass Ihr Befund stichhaltig ist, aber nicht unsere Anforderungen an eine sofortige Bearbeitung erfüllt, da es sich hauptsächlich um Phishing-Angriffe handelt“, schreibt Microsoft bereits am 14. Februar.

Das Unternehmen stuft also diese Beschreibung nicht als Sicherheitslücke ein, da für einen „erfolgreichen Angriff“ Social Engineering erforderlich sein. Gegenüber „Bleeping Computer“ gab Microsoft an „Wir ermutigen unsere Kunden weiterhin dazu, gute Computergewohnheiten im Internet zu praktizieren und vorsichtig zu sein, wenn sie auf Links zu Webseiten klicken“.