Microsoft 365: FBI warnt vor neuer Betrugsmasche ohne Passwort

Fünf Monate im Postfach: Spionage an der Börse

Ein hochrangiger Manager einer internationalen Börse blieb über Monate hinweg das Ziel einer professionellen Cyber-Spionage-Operation. Die Angreifer hatten von Oktober 2025 bis März 2026 – rund 150 Tage – ungehinderten Zugriff auf sein Outlook-Postfach.

Anzeige: Das FBI warnt vor einer neuen Betrugsmasche, die ohne Passwort auf Microsoft 365-Konten zugreift – und monatelang unentdeckt bleibt. Unser kostenloser Report liefert Ihnen die Sofort-Checkliste und Tool-Liste, um Ihr Unternehmen zu schützen. Jetzt Sicherheits-Report anfordern

Die Tarnung war raffiniert: Die Schadsoftware tarnte sich als legitime Adobe- und OneDrive-Prozesse. Um die gestohlenen Daten abzutransportieren, nutzten die Hacker die Aspose .NET-Bibliothek – eine Technik, mit der sich Outlook-Offline-Dateien (.ost) auslesen und konvertieren lassen. Der Abfluss der Beute erfolgte über alltägliche Cloud-Dienste wie Dropbox und OneDrive.

Bemerkenswert: Die Angreifer hatten Zugriff auf Systemebene, bewegten sich aber nicht im Netzwerk weiter. Die genaue Urheberschaft ist unklar, doch die Methodik deutet auf einen staatlich gesteuerten Akteur hin.

Ein uralter Fehler fliegt auf

Das Fedora-43-Update vom Mai 2026 förderte eine verblüffende Entdeckung zutage: Ein Verschlüsselungsfehler in Outlook existiert offenbar seit der Version 2007. Der Fehler trat bei der Aktualisierung des Dovecot-POP/IMAP-Servers zutage, der standardmäßig unverschlüsselte Anmeldungen unterbindet.

Das Problem: Outlook ignorierte die SSL/TLS-Einstellungen der Nutzer. Bei POP3-Verbindungen über Port 110 wurden Daten weiterhin im Klartext übertragen. Die Folge: Nach dem Server-Update verloren viele Anwender den Zugriff auf ihre Mail-Postfächer. Microsoft hat sich zu dem historischen Sicherheitsmangel bislang nicht geäußert.

FBI warnt vor neuer Betrugswelle

Das FBI schlägt Alarm: Eine neuartige Betrugsmasche zielt auf Microsoft 365-Anwendungen ab – darunter Outlook, Teams und OneDrive. Die Täter nutzen ein legitimes Microsoft-Anmeldesystem, um Sicherheitsmechanismen zu umgehen. Besonders perfide: Für den Zugriff auf die Konten ist nicht einmal ein Passwort nötig.

Parallel dazu warnte die indische CERT-In vor einer spezifischen Sicherheitslücke in Microsoft Office (CVE-2026-45659). Über manipulierte Dokumente könnten Angreifer die Kontrolle über Systeme übernehmen und persönliche Daten stehlen. Ähnliche Schwachstellen wurden auch in Microsoft 365 Copilot entdeckt.

Anzeige: Eine historische Outlook-Sicherheitslücke seit 2007 ermöglicht unverschlüsselte Datenübertragung. Kombiniert mit der neuen passwortlosen Angriffswelle wird Ihr Postfach zum offenen Tor. Erhalten Sie den konkreten Migrationsfahrplan zu IAKerb und die 5-Schritte-Checkliste. Fahrplan jetzt sichern

Microsoft rüstet auf

Anfang Juni 2026 kündigte Microsoft einen bedeutenden Sicherheitsschritt an: Das veraltete NTLM-Authentifizierungsprotokoll wird in kommenden Windows-Versionen standardmäßig deaktiviert. Stattdessen setzt der Konzern auf die moderneren Verfahren IAKerb und LocalKDC. Eine Vorschau dieser Änderung soll im nächsten Canary-Channel-Release erscheinen.

Auch der Edge-Browser erhielt Updates: Mehrere Sicherheitslücken wurden geschlossen, darunter CVE-2026-45495 – ein Fehler in der Pfadvalidierung von Feedback-Protokolldateien, der Code-Ausführung aus der Ferne ermöglichte. Ungelöst bleibt hingegen ein Problem im Windows-Such-URI-Handler: Ein gezielter Klick auf einen manipulierten Link könnte zur Preisgabe von NTLMv2-Hashes führen.

de | wissenschaft | 69487715 |