Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Prinzipielles Missbrauchspotential bei Microsoft-Accounts?

Mitglied: anteNope

anteNope (Level 2) - Jetzt verbinden

18.12.2018, aktualisiert 17:44 Uhr, 644 Aufrufe, 7 Kommentare, 2 Danke

Hallo zusammen,
mir ist die Tage etwas "seltsames" bei Microsoft aufgefallen und wollte mal eure Meinung dazu lesen.

Grundlegend kann man sich ja bei Microsoft mit einer bestehenden E-Mail-Adresse (z.B. info(at)test.bla) einen Microsoft Account erstellen. Man wird aufgefordert die Mail zu verifizieren und kann im weiteren Verlauf diese als Alias zum Versenden von Mails über outlook.com verwenden.
Unter den Konto-Einstellungen kann man zudem neben einer Rufnummer auch eine andere Mail-Adresse als Kontakt-Adresse festlegen (z.B. Sicherheits-Codes oder zum Zurücksetzten von Kennwörtern).
Gut, so viel zu den aktuellen Gegebenheiten eines Microsoft-Kontos.

Hier nun wie ich auf das "Problem" aufmerksam wurde:
Ich wollte die Tage für einen Kunden neue Office-Tokens einlösen. Zugangsdaten waren natürlich keine vorhanden und zudem war nicht einmal bekannt ob er überhaupt ein Konto hat. Nunja, verständlich, wozu auch? Nunja, kein Problem, einfach mal versuchen ein neues Konto anzulegen mit info(at)test.bla, falls ja eines vorhanden ist, sollte das ja nicht funktionieren und dann könnte man ja einfach das Kennwort zurücksetzten lassen =D . Wie erwartet wird man darauf hingewiesen, dass es dieses Konto bereits gibt. Also über den Weg Passwort zurücksetzten, Konto eintippen und Mail wird zugeschickt. Tya denkste! Die kommt aber blöder Weise nicht an! ...

Nach längerem hin und her mit Microsoft, ist folgendes Fakt:
  • Zum Versenden des Codes / Links zur Neuvergabe eines Passwortes, wird die hinterlegte "Kontakt-Adresse" verwendet, nicht die eigentliche Alias (macht auch Sinn für Konten mit Domain bei Microsoft)
  • Der Microsoft Support kann weder über das System noch manuell den Code an die Alias-Adresse (info(at)test.bla) verschicken
  • Man soll über die "Erweiterte Wiederherstellung" ein Formular ausfüllen und weitere Daten angeben (z.B. Geburtsdatum, Kontakt-Mail-Adresse, wann der Account zum letzten Mal und wozu verwendet wurde, ob Käufe getätigt wurden, usw.), dieses würde dann geprüft

Hat man diese Informationen nicht, bzw. keinen Zugriff auf die hinterlegte Kontakt-Mail-Adresse, hat man keine Möglichkeit auf das Konto Zugriff zu erlangen. Und das obwohl man der Eigentümer der verwendeten Account-Alias ist!
Soweit hört sich das ja nun auch zunächst korrekt an, richtig? Wie komme ich jetzt auf das erwähnte Missbrauchspotential?


Hier liegt der Hund begraben:

Mir fallen folgende Möglichkeiten ein:
a) jemand hatte Zugriff auf das Alias-Postfach (info(at)test.bla) und hat sich ein Microsoft-Konto damit erstellt und seine Spuren verwischt (MS-Mails gelöscht)
b) ein Mitarbeiter hat sich ein MS-Konto auf der Adresse erstellt und ist nun nicht mehr im Unternehmen
c) jemand hat sich eine Domain gekauft, die bereits vorher jemand anderem gehört hat, der auf typischen Adressen einen oder mehre Mircosoft-Accounts erstellt hat

In allen Fällen kann vom Microsoft-Konto aus Mails mit der Alias versendet werden. Sofern der Empfänger einen vorhandenen SPF-Eintrag auswertet und anwendet oder im Quelltext der Nachricht nachschaut, sieht die Mail aus wie vom Alias gesendet. Damit könnte man schon beträchtlichen Schaden anrichten.

Nun nun das irrwitzige. Als Inhaber der Mail oder Domain kann man nichts dagegen unternehmen, weil man weder Zugriff auf den Account bekommen oder diesen löschen lassen kann. Da man schlicht die eingegebenen Daten nicht kennt ...

Was meint ihr dazu? Ist der aktuelle Prozess so korrekt und sehe ich ein Problem wo keines ist, oder ist dies tatsächlich ein prinzipielles Problem? Bin auf die Diskussion gespannt =)
Mitglied: 129580
18.12.2018, aktualisiert um 15:11 Uhr
Hallo,

a) jemand hatte Zugriff auf das Alias-Postfach (info(at)test.bla) und hat sich ein Microsoft-Konto damit erstellt und seine Spuren verwischt (MS-Mails gelöscht)

Wenn eine Unbefugte Person Zugriff auf euer Mailpostfach hatte, dann ist sowieso Game Over. Was kann Microsoft dafür?
Für die Sicherheit euerer Postfächer seit ihr verantwortlich...

b) ein Mitarbeiter hat sich ein MS-Konto auf der Adresse erstellt und ist nun nicht mehr im Unternehmen

Dann kannst du doch das Passwort einfach zurücksetzen? Euch gehört ja das Postfach.

b) jemand hat sich eine Domain gekauft, die bereits vorher jemand anderem gehört hat, der auf typischen Adressen einen oder mehre Mircosoft-Accounts erstellt hat

Nunja das ist eben ein grundsätzliches Problem. Wenn man eine Domain abgibt bzw. nicht mehr verlängert und somit dem Markt freigibt, dann muss man eben auch schauen, dass die E-Mail Adresse bei sämtlichen Konten geändert wird. Das obliegt dem Inhaber des Accounts - nicht dem Betreiber des Dienstes.

Gleiches gilt auch für Anschriften wenn man umzieht.

Viele Grüße
Exception
Bitte warten ..
Mitglied: anteNope
18.12.2018, aktualisiert um 15:48 Uhr
Wenn jemand unbefugtes Zugriff auf euer Mailpostfach hatte, dann ist sowieso Game Over. Was kann Microsoft dafür? Für die Sicherheit euerer Postfächer seit ihr verantwortlich...

Das war auch mein erster Gedanke, aber unabhängig davon WIE es möglich war, sollte man die Möglichkeit haben den Account zu übernehmen oder zu löschen, oder zumindest die Alias entfernen zu lassen.

Dann kannst du doch das Passwort einfach zurücksetzen? Euch gehört ja das Postfach.
Korrekt, nur wenn derjenige die Kontakt-Adresse des Accounts auf eine andere beliebige! Adresse ändert, geht das eben nicht ;)

Wenn man eine Domain abgibt bzw. nicht mehr verlängert und somit dem Markt freigibt, dann muss man eben auch schauen, dass die E-Mail Adresse bei sämtlichen Konten geändert wird. Das obliegt dem Inhaber des Accounts - nicht dem Betreiber des Dienstes.

Du betrachtest das von der falschen Seite, du musst von der Seite des Käufers gucken. Der kann ja schlicht nicht wissen wofür die Domain bzw. deren Mails und besonders welche Mails für was auch immer verwendet wurden. ;)
Bitte warten ..
Mitglied: Lochkartenstanzer
18.12.2018 um 15:11 Uhr
Zitat von anteNope:

In allen Fällen kann vom Microsoft-Konto aus Mails mit der Alias versendet werden. Sofern der Empfänger einen vorhandenen SPF-Eintrag auswertet und anwendet oder im Quelltext der Nachricht nachschaut, sieht die Mail aus wie vom Alias gesendet. Damit könnte man schon beträchtlichen Schaden anrichten.

Ganz einfach: Kontrolle über die eigene Domain bewahren, Mailserver inhouse halten udn SPf-Einträge korrekt setzen. dann ist der Sender über Microsoft dann halt ein Spammer.

lks

PS: Einfach bei Microsoft eine Beschwerde einkippen, daß von diesem Account gespammt wird und sie diesen abschalten sollen, da dieser nicht unter Eurer Kontrolle ist. Ansonsten mit einer Klage drohen.
Bitte warten ..
Mitglied: anteNope
18.12.2018 um 15:16 Uhr
Ganz einfach: Kontrolle über die eigene Domain bewahren, Mailserver inhouse halten udn SPf-Einträge korrekt setzen. dann ist der Sender über Microsoft dann halt ein Spammer.
Auch das ist korrekt! Worauf ich aber hinweisen wollte ist, dass es dem Empfänger obliegt die SPF-Einträge auszuwerten und anzuwenden ;)

Einfach bei Microsoft eine Beschwerde einkippen, daß von diesem Account gespammt wird und sie diesen abschalten sollen, da dieser nicht unter Eurer Kontrolle ist. Ansonsten mit einer Klage drohen.

Könnte ggf. funktionieren, falls man sich dessen tatsächlich bewusst wäre und hinreichende Beweise hätte ;)
Bitte warten ..
Mitglied: St-Andreas
18.12.2018 um 16:27 Uhr
Hallo,

grundsätzlicher, "leicht Offtopic"-Tip: Für so etwas immer einen eigenen Alias anlegen und nutzen.
Bitte warten ..
Mitglied: Xerebus
18.12.2018 um 16:50 Uhr
Aehm.
Absender Adressen lassen sich schon immer faken. Das ist nur komplizierter über MS Mail.
Bitte warten ..
Mitglied: anteNope
18.12.2018 um 19:24 Uhr
grundsätzlicher, "leicht Offtopic"-Tip: Für so etwas immer einen eigenen Alias anlegen und nutzen.

Absender Adressen lassen sich schon immer faken. Das ist nur komplizierter über MS Mail.

Das ist schon alles klar. Mir geht es eher darum, dass man ein Konto mit einer Alias von einer eigenen Domain, nicht zurücksetzten lassen oder den Alias entfernen kann, sobald eine andere Kontakt-Adresse (die abweichend von der Login-Adresse sein kann) gesetzt ist.

Sprich selbst wenn info@test.bla dir gehört, kann man keinen Zugriff darauf erlangen.

Das finde ich doch leicht fragwürdig und unter gewissen Umständen problematisch!
Bitte warten ..
Ähnliche Inhalte
Windows 10

Microsoft Account für Office 365 verbieten

Frage von goliveWindows 102 Kommentare

Hi, bin jetzt schon über diverseste Beiträge hier geflogen, aber anscheinend führt nichts zum Erfolg. In unsere W2k8R2 Domäne ...

Microsoft

Microsoft Outlook 2010 und AD-Account Sperrung

Frage von AmistarMicrosoft3 Kommentare

Hallo liebe Community, ich habe folgendes Problem, bei uns in der Domäne melden sich Nutzer normal über AD-Accounts an. ...

Outlook & Mail

Outlook.com-Account in Microsoft Outlook 2016 vs. Hosteurope

Frage von SirSimonOutlook & Mail

Hallo zusammen, kniffelige Sache hierbei einem Kollegen: Er hat eine outlook.com Adresse und lässt darüber auch 3 Emailadressen abrufen, ...

Microsoft Office

Keine Office-ISOs mehr im Microsoft-Account zum downloaden?

gelöst Frage von 127132Microsoft Office11 Kommentare

Tach zusammen! Ich steh mal wieder völlig blöd vor einem Problem, das wahrscheinlich keins ist. Ich habe hier immer ...

Neue Wissensbeiträge
Windows 10

Theoretisches dauerhaftes Abschalten von Windows-Updates (Windows 10)

Tipp von beidermachtvongreyscull vor 4 StundenWindows 10

Moin Kollegen, ich weiß, ich weiß, nur ein Wahnsinniger sperrt Windows-Updates, aber dennoch gibt es Gründe, Windows 10 auf ...

Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 5 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 6 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 6 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

Heiß diskutierte Inhalte
Router & Routing
Fritz VPN und WoL mit Mikrotik HEX RB750Gr2 möglich?
gelöst Frage von SionzrisRouter & Routing20 Kommentare

Hallo erstmal und danke fürs anklicken :) Ich habe folgendes Setup geplant und scheitere zurzeit an der Realisierung vom ...

LAN, WAN, Wireless
Ca. 120 Ubiquiti Unifi AP-AC Pro in einem Netz
Frage von aditzLAN, WAN, Wireless19 Kommentare

Hallo Ubiquiti-Spezialisten, geplant ist ein flächendeckendes WLAN für ein Altenheim mit den oben genannten APs. Ich habe mal auf ...

Windows Server
Netzwerk Planung Homeoffice
Frage von siopoqruipWindows Server18 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...

LAN, WAN, Wireless
Netzwerkproblem: Datendurchsatz von Internetverbindung zu gering - wer ist schuld?
Frage von BlubbNRWLAN, WAN, Wireless15 Kommentare

Hallo Zusammen, man stelle sich folgende Situation vereinfacht vor: In einem Raum befinden sich 30 aktuelle Desktopcomputer (Windows 10, ...