Outlook: Sicherheitsfunktion per CSS in E-Mail leicht auszuhebeln

Eigentlich zeigt Outlook in bestimmten Situationen einen Warnhinweis an, der Nutzer unter anderem vor Phishing-Versuchen warnen soll. Der ist mit einfachen Ergänzungen im HTML-Body einer E-Mail allerdings leicht zu verstecken. Und noch mehr ist auf diesem Weg möglich.

Sicherheitsmechanismus in Outlook ausgehebelt

Bekommt man als Microsoft 365-Nutzer eine E-Mail in Outlook von einem fremden Absender, weist die Software normalerweise mit dem sogenannten 'Sicherheitstipp für den ersten Kontakt' normalerweise auf diesen Umstand hin. Mit der Nachricht "Sie erhalten nicht häufig E-Mails von *E-Mail-Adresse*", sollen die Empfänger für eventuelles Phishing und andere Betrugsmaschen sensibilisiert werden.

Sicherheitsforschern des österreichischen Unternehmens Certitude Consulting fanden nun allerdings eine erschreckend einfache Möglichkeit, mit der Kriminelle diesen Schutzmechanismus aushebeln können. Weil die Warnung von Outlook zum Beginn des HTML-Bodys der E-Mail eingefügt wird, ist es möglich, den Hinweis durch entsprechenden CSS-Code im Text der E-Mail auszublenden.


Durch das Hinzufügen der folgenden paar Zeilen ist die Warnung so gut wie nicht mehr sichtbar, da der Text in weißer Farbe auf einem weißen Hintergrund dargestellt wird:

Weitere Manipulation möglich

Außerdem war es den Forschern möglich, durch das Hinzufügen von weiterem HTML-Code Icons nachzuahmen und in einer E-Mail anzeigen zu lassen, mit denen Outlook normalerweise verschlüsselte und dementsprechend sichere Nachrichten markiert. Die Illusion ist aufgrund einiger Limitationen bei der Formatierung nicht ganz perfekt. Das Ergebnis reicht allerdings, um den trügerischen Eindruck einer legitimen und ungefährlichen E-Mail zu erzeugen.
So sieht die E-Mail normalerweise aus ... ... und so nach der Manipulation

Microsoft bleibt gelassen

Gegenüber Bleeping Computer bestätigte Certitude, dass ihnen bisher kein Fall bekannt ist, bei dem diese Methode zur Anwendung gekommen ist. Microsoft sieht vermutlich auch deshalb keinen direkten Handlungsbedarf.

Wir haben festgestellt, dass Ihr Befund stichhaltig ist, aber nicht unsere Anforderungen an eine sofortige Bearbeitung erfüllt, da es sich hauptsächlich um Phishing-Angriffe handelt. Dennoch haben wir Ihren Befund für eine zukünftige Überprüfung als Gelegenheit zur Verbesserung unserer Produkte markiert.

Gerade erst hatte Microsoft angekündigt, dass die Sicherheit seiner Produkte in Zukunft an erste Stelle stehen soll. Sogar die Gehälter der Mitarbeiter sollen von deren Bemühungen abhängen, die Software des Unternehmens sicherer zu machen. Die Reaktion der Redmonder auf die entdeckte Sicherheitslücke in Outlook kommt jetzt natürlich mit einem ungünstigen Timing daher.


Siehe auch: