Eye Security Chef-Hacker rettet Tausende Nutzer vor dem Risiko von Cyberangriffen
Ein Fehler in Microsofts Software "Attack Simulation Training" führte zu einer schwerwiegenden Sicherheitslücke – ein ernsthaftes Risiko mit dem Potenzial, Tausende Nutzer der Gefahr von Phishing-Angriffen durch Cyberkriminelle auszusetzen.
Die Software "Attack Simulation Training" von Microsoft, die entwickelt wurde, Mitarbeiter von Unternehmen zu Phishing-Angriffen zu schulen, hätte beinahe ihre Nutzer erheblichen Sicherheitsrisiken ausgesetzt. Eigentlich dient das Programm als Übungsfeld für Mitarbeitende, um potenzielle Bedrohungen zu erkennen und auf sie zu reagieren. Der Fehler, der zur Sicherheitslücke führte, stellte ein ernsthaftes Risiko dar und hatte das Potenzial, Tausende ahnungsloser Nutzer Cyberkriminellen auszusetzen.
Aufgedeckt wurde diese schwerwiegende Sicherheitslücke von Vaisha Bernard, Chef-Hacker des europäischen Cyber-Sicherheitsunternehmens Eye Security, der eine entscheidende Rolle dabei spielte, Microsoft bei der Behebung der Schwachstelle zu unterstützen. Ursprünglich überlegte Bernard, das „Attack Simulation Training” ins Portfolio von Eye Security für Kunden aufzunehmen, weshalb er das Programm testete. Dabei entdeckte er eine Sicherheitslücke durch eine Phishing-E-Mail-Vorlage innerhalb des Programms.
Anti-Phishing Schulungsprogramm wird selbst zum Phishing-Angriffsprogramm
Ein Link in der Vorlage führte ihn zu einer 'nicht existierenden' Confluence-Seite. Bernard registrierte die Seite auf seinen Namen und erhielt daraufhin E-Mails von Benutzern aus der ganzen Welt, die Zugriff auf die Seite forderten. Dabei bemerkte Bernard ein massives Problem: Die Vorlagen enthielten nicht nur Links zu nicht registrierten Seiten und Domänen, auch die von Microsoft verwendeten E-Mail-Adressen für das Versenden von Phishing-Simulationen waren mit nicht registrierten Domänen verknüpft.
Das bedeutete: Jeder konnte sich für 10 Dollar ganz einfach für die Domäne registrieren. Bernard registrierte einige Domänen und begann, Antworten auf die Phishing-Simulationen von Mitarbeitern in Unternehmen weltweit zu erhalten. Neben Mitarbeitenden, die wussten, dass es sich um eine Betrugsmasche handelte, gab es viele, die darum baten, eine PDF-Datei der simulierten Malware erneut zu senden.
Sicherheitslücke hätte alle Schutzmechanismen umgangen
"Natürlich habe ich Microsoft sofort informiert, und gemeinsam haben wir das Problem inzwischen behoben. Wäre mir ein Cyberkrimineller zuvor gekommen, hätten Tausende ahnungsloser Mitarbeiter von Unternehmen weltweit - Microsoft-Kunden - auf verdächtige Links geklickt und wären Opfer von Phishing-Angriffen geworden. Ironischerweise hätte sich Microsofts “Attack Simulation Training” selbst in ein echtes Phishing-Angriffsprogramm verwandelt, das alle Schutzmechanismen umgangen hätte”, so Bernard.
