Microsoft 365 Anti-Phishing-Funktion durch CSS-Style-Tags umgangen

Phishing ist eine der effektivsten Methoden für Angreifer, um in ein Unternehmen einzudringen. Es gibt zahlreiche Angriffsmethoden und Techniken, mit denen Angreifer Phishing-E-Mails versenden können.

E-Mail-Clients wie Outlook oder Gmail haben Sicherheitsmaßnahmen, um Benutzer zu warnen, wenn sie eine E-Mail von einem unbekannten Absender erhalten. Eine dieser Maßnahmen ist der „First Contact Safety Tip“, der Outlook-Benutzer warnt, wenn sie eine E-Mail von einem unbekannten Absender erhalten. Diese Warnung lautet: „Sie erhalten selten E-Mails von [email protected]. Erfahren Sie, warum das wichtig ist.“

Diese Funktion hilft vielen Benutzern, unbekannte Absender oder Phishing-E-Mails zu vermeiden und ist eine von vielen verfügbaren Methoden zur Bekämpfung von Phishing in Exchange Online und Microsoft Defender für Office 365.

Umgehung des „First Contact Safety Tip“

Forscher haben jedoch eine Methode entdeckt, um diese Warnung zu umgehen, was die Phishing-E-Mail legitimer erscheinen lässt und den Benutzer dazu verleiten kann, mit ihrem Inhalt oder den Anhängen zu interagieren.

Outlook fügt die „First Contact Safety Tip“-Nachricht an den Anfang des Textkörpers einer HTML-E-Mail ein. Das bedeutet, dass ein Angreifer durch die Verwendung von CSS-Stil-Tags das Erscheinungsbild dieser Warnung für den Empfänger manipulieren kann.

Beispiel zur Umgehung

Der Proof-of-Concept beinhaltete das Verstecken der „First Contact Safety Tip“-Nachricht in der HTML-E-Mail. Die Forscher konnten auch die Hintergrund- und Schriftfarben auf Weiß ändern, wodurch die Warnung für den Endbenutzer unsichtbar wurde.

htmlCode kopieren<head>
</head>
<head>
    <style>
        a {
            display: none;
        }
        td div {
            color: white;
            font-size: 0px;
        }
        table tbody tr td {
            background-color: white !important;
            color: white !important;
        }
    </style>
</head>

Zusätzlich konnten die Forscher auch die Symbole fälschen, die Microsoft Outlook verschlüsselten und/oder signierten E-Mails hinzufügt.

Reaktion von Microsoft

Microsoft hat auf diesen Fund der Forscher reagiert und erklärt, dass diese Erkenntnis gültig, jedoch nicht dringlich genug ist, um sofort behoben zu werden. In einer Antwort vom 14. Februar 2024 heißt es: „Wir haben festgestellt, dass Ihr Fund gültig ist, aber nicht unseren Maßstab für eine sofortige Bearbeitung erfüllt, da dies hauptsächlich für Phishing-Angriffe gilt. Wir haben Ihren Fund jedoch für eine zukünftige Überprüfung als Möglichkeit zur Verbesserung unserer Produkte markiert.“

Wichtigkeit von Wachsamkeit

Es ist für alle Benutzer wichtig, Phishing-E-Mails aufmerksam zu prüfen und auf Formatänderungen oder verdächtige Links in E-Mails zu achten. Klicken Sie nicht auf unbekannte Links und laden Sie keine Anhänge von unbekannten Absendern herunter.