Bei manchen Themen suchen sich die Hosts des heise-security-Podcasts auswärtige Hilfe, zum Beispiel beim kürzlichen Ausfall weiter Teile der Top-Level-Domain .de. DNSSEC-Experte Carsten Strotmann springt Sylvester und Christopher bei und erklärt, wo das Problem lag. Außerdem befasst sich die Folge mit der Sicherheitslücke YellowKey, dem Drama um dessen Entdecker und ganzen vier weiteren Themen. Um die alle in die Folge zu quetschen, greifen die Hosts zu einem neuen Trick.

Der kurze, aber folgenreiche Ausfall beim DENIC betraf alle Nutzer von DNSSEC-validierenden Resolvern – so viel war schnell klar. Doch was den Ausfall verursachte und was die deutsche Vergabestelle für Domains daraus gelernt hat, erläutert Carsten im ersten Teil des Podcasts. Er ist ausgewiesener DNSSEC-Experte und arbeitet seit 20 Jahren mit dem kryptografischen Protokoll zur Absicherung von DNS-Einträgen.

Nachdem der Experte das virtuelle Studio wieder verlassen hat und die Stammhosts unter sich sind, geht es zunächst um cow.fi. Der DeFI-Anbieter war aufgrund eines Kommunikationslapsus zwischen Domainvergabestelle („Registry“) und Domainanbieter („Registrar“) kurzzeitig seine Domain los – auf dieser erschien eine Phishingseite und Kriminelle erbeuteten damit Kryptoguthaben im Wert von 1,2 Millionen US-Dollar. Außerdem besprechen die Hosts YellowKey, eine Sicherheitslücke, die die Bitlocker-Verschlüsselung angreift. Ob sie eine echte Umgehung der Festplattenverschlüsselung unter Windows erlaubt, ist Gegenstand einer Diskussion (nicht nur) im Passwort-Podcast.

Da es erneut viel mehr Themen in der Security-Welt gab, als den Hosts Aufnahmezeit zur Verfügung steht, haben sie sich ein neues Format ausgedacht: In der „Fünf-Minuten-Challenge“ erzählen sie dieses Mal drei weitere Themen in insgesamt knapp 900 Sekunden. Genug Zeit, um spaßige Details zur Fail-Zwiebel beim Cloud-Hoster Railway, eine Einordnung zu Signals Caching-Problem und eine Fortsetzung zu Googles Zero-Knowledge-Proof in der Quantenforschung unterzubringen.

Die neue Folge von „Passwort – der Podcast von heise security“ steht seit Mittwoch auf den üblichen Podcast-Plattformen bereit.

(cku)

Die französische staatliche Digitalstelle DINUM untersucht einen Einbruch in ein Konto des Regierungs-Messengers Tchap. Der oder die Angreifer haben demnach Zugriff auf Chats und Nachrichten sowie Informationen von tausenden Nutzern erlangt.

Das teilt das französische Regierungsportal numerique.gouv.fr mit. Demnach konnten die Angreifer am 7. Juni 2026 ein Nutzerkonto beim verschlüsselten Instant-Messaging-Dienst Tchap kompromittieren. Da der Dienst private Chats und Nachrichten verschlüsselt, können die Angreifer selbst im Fall einer Konto-Kompromittierung lediglich auf unverschlüsselte öffentliche Chats und Nachrichten zugreifen, erklärt die Behörde. Es seien Berichten zufolge 73.467 Nutzerinnen und Nutzer betroffen, was knapp neun Prozent der Nutzerbasis entspreche.

Nach dem Vorfall schaltete sich die ANSSI, Frankreichs nationales Cybersicherheitszentrum und BSI-Pendant, ein und untersuchte den Vorfall. Die Kompromittierung konnte dabei bestätigt und Schutzmaßnahmen ergriffen werden; das Ausmaß des Vorfalls wurde ermittelt. Die IT-Sicherheitsexperten haben das unterwanderte Konto gesperrt. Bei der Untersuchung kam heraus, dass zu den möglicherweise offengelegten Daten Vor- und Nachname, E-Mail-Adresse, Unternehmen und Avatar der Nutzerinnen und Nutzer gehören. Die privaten Chats seien hingegen geschützt.

Untersuchungen dauern an

Die Untersuchungen gingen weiter, erklärt die Behörde. Es sollen noch Ereignisprotokolle ausgewertet werden, um herauszufinden, auf welche Chats und auf welche weiteren Daten die Angreifer Zugriff hatten. Im digitalen Untergrund bieten die Angreifer die angeblich abgegriffenen Daten an. Wie ein Post von Dark Web Intelligence auf X zeigt, geht es angeblich um 73.467 Nutzerkonten, mehr als 640.000 Nachrichten, 876 Chat-Räume und knapp 60.000 Mediendateien mit einem Umfang von 13,5 GByte. Zudem sollen klassifizierte Dokumente enthalten sein. Das hat die Untersuchung bislang jedoch nicht bestätigt.

Frankreichs als sicherer Messenger für die Regierung konzipierter Tchap-Dienst, der auf Matrix basiert, hatte bereits zum Start im Jahr 2019 mit einer Sicherheitslücke zu kämpfen. Einem Hacker gelang es, unbefugt ein Konto in dem Dienst anzulegen, obwohl er nicht zur Regierung gehört, was eigentlich durch entsprechende Mail-Domains sichergestellt werden sollte. Die Lücke wurde damals in kürzester Zeit nach der Meldung durch den Entdecker geschlossen.

(dmk)

Ein Konfigurationsfehler bei Exchange Online, den Sicherheitsforscher auf den Namen „Ghost-Sender“ getauft haben, erlaubt Spammern und Cyberkriminellen, gefälschte E-Mails an den Schutzmaßnahmen des Anbieters vorbeizuschleusen. Microsofts Sicherheitsabteilung erklärte sich für nicht zuständig – Kunden müssen sich selbst kümmern.

Nutzt ein Unternehmen einen Dienst zur Mailfilterung oder für andere Aufgaben und hat diesen im DNS als MX-Eintrag (Mail eXchange) eingetragen, gehen alle Mails zunächst dorthin. Nach der Bearbeitung durch den externen Dienst leitet dieser die E-Mails an Exchange Online (EXO) weiter, um sie den Empfängern zuzustellen. Dabei ignoriert EXO dann jedoch übliche Maßnahmen gegen Mailspoofing wie SPF und DMARC und kippt auch offensichtlich gefälschte E-Mails bei den Empfängern ab.

Das liegt im Zusammenspiel der Exchange-Online- und der externen Mailserver begründet und ist ein Konfigurationsfehler bei deren Verschaltung. Wie die Entdecker von Infoguard erläutern, gibt es mehrere Methoden der Fehlerbehebung: Man könne einen sogenannten „partner organization connector“ konfigurieren oder per Mailregeln alle E-Mail in Quarantäne verschieben, deren Header X-MS-Exchange-Organization-AuthAs nicht auf Internal gesetzt und zudem die IP-Adresse des einliefernden Mailservers unbekannt ist.

Microsoft tut nichts, daher sollten Admins handeln

Microsofts Reaktion auf den Fehler – den heise security mit dem kostenlos verfügbaren Testprogramm nachvollziehen konnte – war befremdlich. Das Microsoft Security Response Center (MSRC) – aktuell mal wieder mit Sicherheitsforschern über Kreuz – wies die Infoguard-Forscher nach ihrer Meldung am 21. April 2026 ab: Es handele sich weder um eine sicherheitsrelevante Schwachstelle noch um einen Fall fürs MSRC. Daraufhin kontaktierten die Schweizer den Kundendienst des Redmonder Softwarehauses und erhielten eine Bestätigung: Tags zuvor habe man eine großangelegte Versandaktion gefälschter E-Mails festgestellt, das Problem werde also bereits von Missetätern ausgenutzt.

Dennoch passierte nichts, „Ghost-Sender“ funktioniert bis heute. Dabei tragen E-Mails mit gefälschten Absenderadressen (die in Outlooks Mailoberfläche sogar das passende Profilbild tragen) ein hohes Risiko für Betrügereien aller Art, speziell die als „Business Email Compromise“ bekannte Masche.

Administratoren, die Exchange Online mit vorgelagertem Filterdienst nutzen, sollten ihre Konfiguration daher zügig auf Anfälligkeit prüfen und gegebenenfalls eine der empfohlenen Gegenmaßnahmen ergreifen – in Redmond scheint man derzeit nicht der Ansicht zu sein, wegen „Ghost-Sender“ handeln zu müssen.

(cku)