batjaket – shutterstock.com
Das Threat Intelligence Team von Microsoft hat kürzlich festgestellt, dass Angreifer zunehmend komplexe E-Mail-Weiterleitungen und falsch konfigurierte Domain-Spoofing-Schutzmaßnahmen ausnutzen. Dabei lassen sie ihre Phishing-Nachrichten so aussehen, als würden sie von den angegriffenen Organisationen selbst stammen.
In den Angriffskampagnen werden Konfigurationslücken missbraucht. Das gilt insbesondere für solche bei MX-DNS-Einträgen (Mail Exchanger), die nicht direkt auf Microsoft 365 verweisen und in denen die Richtlinien für Domain-based Message Authentication, Reporting & Conformance (DMARC) und Sender Policy Framework (SPF) zu lax oder falsch konfiguriert sind.
„Angreifer haben diesen Vektor genutzt, um eine Vielzahl von Phishing-Nachrichten im Zusammenhang mit verschiedenen Phishing-as-a-Service-Plattformen (PhaaS) wie Tycoon 2FA zu versenden“, erklärt Microsoft in einem Blogbeitrag.
Der Technikriese weist darauf hin, dass dieser Angriffsvektor zwar nicht neu ist, seine Nutzung jedoch seit Mitte 2025 deutlich zugenommen hat. Dabei reichen die Phishing-Köder von Passwort-Zurücksetzungen bis hin zu freigegebenen Dokumenten.
„Internes“ Routing und schwache Richtlinien
Der Fehler liegt darin, wie empfangende Mailserver eingehende Nachrichten interpretieren. Wenn MX-Einträge zu komplexen Mail-pPfaden führen, zum Beispiel zu lokalen Systemen oder Microsoft 365 vorgeschalteten Relay-Servern von Drittanbietern , werden standardmäßige Spoofing-Schutzprüfungen wie SPF Hard-Fail und strenge DMARC-Durchsetzung möglicherweise nicht korrekt angewendet.
In diesen Fällen kann eine Phishing-E-Mail mit der eigenen Adresse des Empfängers sowohl im „An”- als auch im „Von”-Feld ankommen, eine gefälschte Nachricht, die auf den ersten Blick wie eine interne E-Mail erscheint. In einigen Fällen ändern Angreifer zusätzlich den Absendernamen, um die Nachricht überzeugender erscheinen zu lassen, während das „Von”-Feld auf eine gültige interne E-Mail-Adresse gesetzt wird.
In Kombination mit laxen oder fehlenden DMARC- und SPF-Richtlinien können diese Nachrichten Spam-Filter umgehen und direkt im Posteingang der Benutzer landen.
„Phishing-Nachrichten, die über diesen Vektor versendet werden, können effektiver sein, da sie wie intern versendete Nachrichten erscheinen“, betont Microsoft in seinem Beitrag. „Eine erfolgreiche Kompromittierung von Anmeldedaten durch Phishing-Angriffe kann zu Datendiebstahl oder Business Email Compromise (BEC)-Angriffen auf das betroffene Unternehmen oder dessen Partner führen und umfangreiche Abhilfemaßnahmen erforderlich machen und/oder im Falle von Finanzbetrug zu finanziellen Verlusten führen.“
Über die Erfassung von Anmeldedaten hinaus kann die PhaaS-Infrastruktur AiTM-Angriffe (Adversary-in-the-Middle) ermöglichen, bei denen Authentifizierungsinformationen in Echtzeit weitergeleitet werden und sogar Multi-Faktor-Authentifizierungsmaßnahmen umgangen werden können.
Konfigurationen zur Absicherung können helfen
Microsoft betont, dass eine korrekte Konfiguration von E-Mail-Authentifizierungsmechanismen die wirksamste Verteidigung gegen diesen Spoofing-Vektor sei. Unternehmen wird empfohlen, strenge DMARC-Reject-Richtlinien einzuführen und SPF-Hard-Fails durchzusetzen, damit nicht authentifizierte E-Mails, die angeblich von ihren Domänen stammen, abgelehnt oder sicher unter Quarantäne gestellt werden.
Darüber hinaus wird empfohlen, alle Konnektoren von Drittanbietern, wie Spamfilter, Archivierungsdienste oder ältere Mail-Relays, korrekt einzurichten. Damit können Spoof-Prüfungen konsistent berechnet und durchgesetzt werden.
Mandanten mit MX-Einträgen, die direkt auf Microsoft 365 verweisen, sind von diesem Problem nicht betroffen. Die nativen Spoof-Erkennungs- und Filtermechanismen von Microsoft verhindern solche Angriffe und werden standardmäßig angewendet. Für komplexere E-Mail-Infrastrukturen hat Microsoft spezifische Richtlinien zu E-Mail-Regeln und Authentifizierungsverfahren bereitgestellt, um das Risiko zu verringern und gefälschte E-Mails zu blockieren, bevor sie überhaupt den Posteingang der Endbenutzer erreichen.
Über die Korrekturen zur E-Mail-Authentifizierung hinaus fordert Microsoft Unternehmen dazu auf, ihre Identitäts-Schutzmaßnahmen gegen AiTM-Phishing zu verstärken, einer Methode, bei der Passwörter durch die Übernahme authentifizierter Sitzungen umgangen werden. Zu den empfohlenen Kontrollmaßnahmen gehören Phishing-resistente MFA wie FIDO2-Sicherheitsschlüssel, die Durchsetzung bedingter Zugriffsrechte und Schutzmaßnahmen wie MFA-Nummernabgleich, um die Auswirkungen gestohlener Token zu begrenzen. (jm)
