Ghost-Sender: Kritische Lücke in Microsoft Exchange Online entdeckt

Eine schwerwiegende Schwachstelle in Microsoft Exchange Online erlaubt es Angreifern, E-Mails zu fälschen und etablierte Sicherheitsstandards zu umgehen. Die als „Ghost-Sender" bezeichnete Lücke wurde am heutigen Dienstag von Sicherheitsforschern der InfoGuard Labs öffentlich gemacht.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. Anti-Phishing-Paket jetzt gratis herunterladen

SPF, DKIM und DMARC ausgehebelt

Die Forscher Lucas Dodgson, Tobias Oberdörfer und Robin Hilber entdeckten, dass der Fehler es unbefugten Absendern ermöglicht, legitime Domains zu imitieren. Die Angreifer umgehen dabei die branchenüblichen Sicherheitsprotokolle SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain Message Authentication, Reporting & Conformance).

Erste Tests zeigten: Über 20 Prozent der Domains, die an Bug-Bounty-Programmen teilnehmen, waren anfällig für diese Spoofing-Technik. Besonders betroffen sind hybride oder reine Cloud-Umgebungen, die externe Mail Exchange (MX)-Einträge nutzen. Die Forscher haben ein Testtool bereitgestellt, mit dem Unternehmen ihr eigenes Risiko prüfen können.

So schützen Administratoren ihre Systeme

Microsoft hat die Schwachstelle bestätigt und empfiehlt konkrete Schutzmaßnahmen. Administratoren sollen entweder einen Partner Organization Connector einrichten oder spezifische Transportregeln konfigurieren. Diese prüfen eingehende E-Mails strenger auf ihre Echtheit.

Die Ghost-Sender-Lücke ist nicht die einzige Sicherheitsbaustelle für Microsoft-365-Nutzer. Am heutigen Dienstag wurden zudem neue Browser-in-the-Browser (BitB)-Phishing-Angriffe gemeldet. Diese nutzen täuschend echte OAuth-Pop-up-Fenster, die Betriebssystem- und Browser-Oberflächen nachahmen, um Anmeldedaten zu stehlen. Microsoft Defender kann inzwischen auch Missbrauch des Remote Procedure Call (RPC)-Protokolls erkennen – eine Methode, mit der Angreifer sich seitlich durch Netzwerke bewegen und Zugangsdaten stehlen.

CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. Zum kostenlosen Anti-Phishing-Report für Unternehmen

Weitere Sicherheitslücken im Kommunikationssektor

Die Ghost-Sender-Enthüllung fällt in eine Phase verstärkter Sicherheitspatches. Erst gestern, am 8. Juni 2026, gaben Forscher der University of California San Diego bekannt, dass eine langjährige Schwachstelle in E-Mail-zu-SMS-Diensten endlich geschlossen wurde. Der Fehler erlaubte Identitätstäuschungen in Textnachrichten bei großen US-Anbietern wie Verizon, T-Mobile und Google Fi – sowohl auf Android- als auch auf iOS-Geräten. Verizon kündigte als Konsequenz an, seinen E-Mail-zu-SMS-Dienst bis März 2027 einzustellen.

Auch andere Bedrohungen für das Microsoft-Ökosystem nehmen zu. Die Kali365 Phishing-as-a-Service-Plattform wurde am 3. Juni 2026 mit 126 schädlichen Hosts beobachtet, die Multi-Faktor-Authentifizierung umgehen. Seit dem 31. Mai 2026 ist zudem die Erpressungsgruppe „Pink" aktiv, die Cloud-Speicherkonten auf OneDrive und SharePoint angreift, Daten stiehlt und Lösegeld über interne Microsoft Teams-Nachrichten fordert.

Microsoft Threat Intelligence beobachtet nach eigenen Angaben vom 8. Juni 2026 verstärkt Social-Engineering-Kampagnen, die mit KI-Marken als Köder Kreditkartendaten und Authentifizierungstoken abgreifen.

de | wissenschaft | 69508338 |