Proofpoint Fehler verursacht Versand von Millionen gefälschter Phishing-E-Mails
Eine große Betrugskampagne geht vermutlich auf einen bislang unbekannten Angreifer zurück, der eine Fehlkonfiguration im E-Mail-System des Sicherheitsanbieters Proofpoint ausnutzte. Dadurch konnten Millionen von gefälschten E-Mails versendet werden, die vorgaben, von bekannten Unternehmen wie Best Buy, IBM, Nike und Walt Disney zu stammen.
„Diese E-Mails wurden über offizielle Proofpoint-E-Mail-Server verschickt und waren mit authentifizierten SPF- und DKIM-Signaturen versehen, wodurch sie wichtige Sicherheitsvorkehrungen umgingen. Das Ziel war es, die Empfänger zu täuschen und an deren Geld und Kreditkartendaten zu gelangen“, erklärte Guardio Labs-Experte Nati Tal in einem ausführlichen Bericht. Das Cybersicherheitsunternehmen hat die Betrugskampagne EchoSpoofing genannt. Es wird angenommen, dass die Aktivitäten im Januar 2024 begannen. Der Angreifer nutzte eine Sicherheitslücke, um durchschnittlich drei Millionen E-Mails pro Tag zu versenden. Anfang Juni erreichte die Zahl einen Höchststand von 14 Millionen E-Mails pro Tag, bevor Proofpoint begann, Gegenmaßnahmen zu ergreifen. „Das Einzigartige und Besondere an dieser Methode ist, dass die gefälschten E-Mails kaum von echten E-Mails dieser Unternehmen zu unterscheiden sind“, so Tal weiter. „Das EchoSpoofing-Konzept ist wirklich mächtig. Es ist überraschend, dass es für groß angelegte Phishing-Kampagnen verwendet wird und nicht für gezielte Angriffe, bei denen ein Angreifer schnell die Identität eines echten Mitarbeiters eines Unternehmens annehmen und E-Mails an andere Mitarbeiter senden könnte.“
Die Technik, die der Bedrohungsakteur verwendet, beinhaltet das Versenden von E-Mails von einem SMTP-Server auf einem virtuellen privaten Server (VPS). Diese E-Mails sind so konfiguriert, dass sie die Authentifizierungs- und Sicherheitsmaßnahmen SPF und DKIM einhalten. Diese Maßnahmen sollen eigentlich verhindern, dass Angreifer eine legitime Domain nachahmen können. Der Angreifer leitete die E-Mails über verschiedene Microsoft 365-Tenants, die er kontrollierte, und nutzte dann die E-Mail-Infrastruktur der Proofpoint-Kunden, um die Nachrichten an Benutzer von E-Mail-Diensten wie Yahoo!, Gmail und GMX weiterzuleiten.
„Super-permissive Fehlkonfiguration“
Guardio Labs bezeichnete das als „super-permissive Fehlkonfiguration“ auf den Proofpoint-Servern („pphosted.com“). Diese Fehlkonfiguration ermöglichte es Spammern, die E-Mail-Infrastruktur von Proofpoint zu nutzen, um ihre Nachrichten zu versenden. „Das Problem liegt in einer modifizierbaren E-Mail-Routing-Konfiguration auf den Proofpoint-Servern. Diese Konfiguration erlaubt die Weiterleitung von ausgehenden Nachrichten von Microsoft 365-Tenants, ohne dass spezifiziert wird, welche Tenants zugelassen sind“, erklärte Proofpoint in einem Bericht. „Jede E-Mail-Infrastruktur, die diese Konfigurationsfunktion anbietet, kann von Spammern missbraucht werden.“
Ein Angreifer kann diese Schwachstelle nutzen, indem er betrügerische Microsoft 365-Tenants einrichtet und gefälschte E-Mails an die Relay-Server von Proofpoint sendet. Von dort aus werden sie als legitime Nachrichten weitergeleitet, die vorgeben, von den Domains der Kunden zu stammen. Das wird erreicht, indem der ausgehende E-Mail-Connector des Exchange Servers direkt mit dem verwundbaren Endpunkt „pphosted.com“ des Kunden verbunden wird. Zusätzlich verwendet der Angreifer eine gehackte Version der legitimen E-Mail-Zustellungssoftware PowerMTA. „Der Spammer mietete eine Reihe von virtuellen privaten Servern (VPS) von verschiedenen Anbietern und nutzte viele verschiedene IP-Adressen, um schnell Tausende von Nachrichten gleichzeitig von ihren SMTP-Servern zu versenden. Diese wurden an Microsoft 365 gesendet und dann an die von Proofpoint gehosteten Kundenserver weitergeleitet“, so Proofpoint. „Microsoft 365 akzeptierte diese gefälschten Nachrichten und leitete sie über die E-Mail-Infrastruktur der Kunden weiter. Wenn die Kundendomänen während der Weiterleitung gefälscht wurden, wurde auch die DKIM-Signatur angewendet, wodurch die Spam-Nachrichten glaubwürdiger und schwerer zu erkennen waren.“
Angreifer noch unbekannt
Es wird vermutet, dass die Betreiber von EchoSpoofing diese Methode bewusst gewählt haben, um unentdeckt zu bleiben und langfristig illegale Einnahmen zu erzielen. Ein direkter Angriff hätte das Risiko, entdeckt zu werden, erheblich erhöht und das gesamte System gefährdet. Es ist unklar, wer hinter der Kampagne steckt. Proofpoint konnte bislang keine Verbindung zu bekannten Bedrohungsakteuren oder Gruppen herstellen.
„Im März identifizierten Forscher von Proofpoint Spam-Kampagnen, die über die E-Mail-Infrastruktur einiger weniger Proofpoint-Kunden weitergeleitet wurden, indem Spam von Microsoft 365-Tenants gesendet wurde“, so Proofpoint. „Alle Analysen deuten darauf hin, dass diese Aktivität von einem einzelnen Spam-Akteur durchgeführt wurde, den wir keiner bekannten Entität zuordnen können. Seit der Entdeckung dieser Spam-Kampagne haben wir Maßnahmen ergriffen, einschließlich der Bereitstellung einer optimierten Administrationsschnittstelle, mit der Kunden festlegen können, welche Microsoft 365-Tenants weitergeleitet werden dürfen, während alle anderen standardmäßig blockiert werden.“
Proofpoint betonte, dass durch diese Kampagnen weder Kundendaten preisgegeben wurden, noch ein Datenverlust auftrat. Das Unternehmen hat einige Kunden direkt kontaktiert, um deren Einstellungen zu ändern und die ausgehende Relay-Spam-Aktivität zu unterbinden. „Als wir begannen, die Aktivitäten des Spammers zu blockieren, intensivierte der Spammer seine Tests und ging schnell zu anderen Kunden über“, so Proofpoint. „Wir haben einen kontinuierlichen Prozess eingeführt, um die betroffenen Kunden täglich zu identifizieren und die Prioritäten für die Behebung der Konfigurationen neu festzulegen.“
Um Spam einzudämmen, fordert Proofpoint die VPS-Anbieter auf, die Möglichkeit ihrer Benutzer einzuschränken, große Nachrichtenmengen von SMTP-Servern zu versenden. Außerdem sollten E-Mail-Dienste die Nutzung kostenloser Testversionen und neuer, nicht verifizierter Konten zum Versenden von Massen-E-Mails einschränken und sicherstellen, dass keine Nachrichten gesendet werden können, die eine Domain vortäuschen, für die sie keine nachweislichen Eigentumsrechte haben.
„Für CISOs ist die wichtigste Erkenntnis, die Cloud-Nutzung ihres Unternehmens besonders sorgfältig zu überwachen, insbesondere bei der Nutzung von Drittanbieterdiensten, die das Rückgrat ihrer Netzwerk- und Kommunikationsinfrastruktur bilden“, so Tal. „Im Bereich der E-Mails sollten Unternehmen stets eine Rückkopplungsschleife und eigene Kontrollmechanismen aufrechterhalten, selbst wenn sie Ihrem E-Mail-Anbieter vollkommen vertrauen. Andere Unternehmen, die ähnliche Backbone-Dienste anbieten, müssen wie Proofpoint wachsam und proaktiv sein. Sie sollten von Anfang an alle möglichen Bedrohungen in Betracht ziehen, nicht nur solche, die ihre Kunden direkt betreffen, sondern auch die breite Öffentlichkeit. Dies ist entscheidend für unsere gemeinsame Sicherheit. Unternehmen, die das Rückgrat des Internets bilden und betreiben, tragen die größte Verantwortung, selbst wenn sie privat sind. Wie heißt es so treffend: ‚Mit großer Macht kommt große Verantwortung.’“
Weitere Meldungen zum Thema: