Die Software "Attack Simulation Training" von Microsoft, die entwickelt wurde, Mitarbeiter von Unternehmen über Phishing-Angriffe zu schulen, hätte beinahe ihre Kunden erheblichen Sicherheitsrisiken ausgesetzt. Eigentlich dient das Programm als Übungsfeld für Mitarbeitende, um potenzielle Bedrohungen zu erkennen und auf sie zu reagieren. Der Fehler, der zur Sicherheitslücke führte, stellte ein ernsthaftes Risiko dar und hatte das Potenzial, tausende ahnungsloser Nutzer Cyberkriminellen auszusetzen.
Aufgedeckt wurde diese schwerwiegende Sicherheitslücke von Vaisha Bernard, Chef-Hacker des europäischen Cyber-Sicherheitsunternehmens Eye Security, der eine entscheidende Rolle dabei spielte, Microsoft bei der Behebung der Schwachstelle zu unterstützen. Ursprünglich überlegte Bernard, das „Attack Simulation Training” ins Portfolio von Eye Security für Kunden aufzunehmen, weshalb er das Programm testete. Dabei entdeckte er eine Sicherheitslücke durch eine Phishing-E-Mail-Vorlage innerhalb des Programms.
Anti-Phishing Schulungsprogramm wird zu Phishing-Angriffsprogramm
Ein Link in der Vorlage führte ihn zu einer ’nicht existierenden‘ Confluence-Seite. Bernard registrierte die Seite auf seinen Namen und erhielt daraufhin E-Mails von Benutzern aus der ganzen Welt, die Zugriff auf die Seite forderten. Dabei bemerkte Bernard ein massives Problem: Die Vorlagen enthielten nicht nur Links zu nicht registrierten Seiten und Domänen, auch die von Microsoft verwendeten E-Mail-Adressen für das Versenden von Phishing-Simulationen waren mit nicht registrierten Domänen verknüpft.
Das bedeutete: Jeder konnte sich für 10 Dollar ganz einfach für die Domäne registrieren. Bernard registrierte einige Domänen und begann, Antworten auf die Phishing-Simulationen von Mitarbeitern in Unternehmen weltweit zu erhalten. Neben Mitarbeitenden, die wussten, dass es sich um eine Betrugsmasche handelte, gab es viele, die darum baten, eine PDF-Datei der simulierten Malware erneut zu senden.
Sicherheitslücke hätte alle Schutzmechanismen umgangen
"Natürlich habe ich Microsoft sofort informiert, und gemeinsam haben wir das Problem inzwischen behoben. Wäre mir ein Cyberkrimineller mir zuvor gekommen, hätten tausende ahnungsloser Mitarbeiter von Unternehmen weltweit – Microsoft-Kunden – auf verdächtige Links geklickt und wären Opfer von Phishing-Angriffen geworden. Ironischerweise hätte sich Microsofts “Attack Simulation Training” selbst in ein echtes Phishing-Angriffsprogramm verwandelt, das alle Schutzmechanismen umgangen hätte”, so Bernard.
Eye Security wurde 2020 von Experten des niederländischen Nachrichtendienstes gegründet und hat sich zum Ziel gesetzt, Cybersicherheit auf höchstem Niveau für alle Unternehmen zugänglich zu machen. Durch die Kombination von hochmodernen Erkennungsdiensten mit einer umfassenden Cyberversicherung bietet Eye Security eine Komplettlösung zum Schutz von Unternehmen in ganz Europa. Mit seinem Expertenteam und dem Engagement für Innovation setzt Eye Security weiterhin Maßstäbe in der Cybersicherheitsbranche.
Eye Security GmbH
Franz-Haniel-Platz 1
47119 Duisburg
Telefon: +49 (211) 81995603
https://www.eye.security/de/
Startup Communication GmbH
Telefon: +49 (173) 5849-053
E-Mail: kg@startup-communication.de
