Nederlands
English
Deutsch
Français
Español
Português
Outlook-Sicherheitsverletzung 2026: 4.000+ Passwörter gestohlen via bösartigem Add-in
In einem bedeutenden Cybersicherheitsvorfall, der kritische Schwachstellen im Add-in-Ökosystem von Microsoft aufdeckt, wurden über 4.000 Outlook-Nutzer durch ein gehacktes Add-in namens AgreeTo um ihre Passwörter und sensiblen Finanzinformationen gebracht. Dieser erstmalige Angriff, der von Sicherheitsforschern im Februar 2026 entdeckt wurde, stellt das erste bekannte bösartige Outlook-Add-in auf Microsofts offiziellem Marketplace dar und verdeutlicht systemische Sicherheitslücken in der Überwachung von Drittanbietererweiterungen.
Was geschah: Der AgreeTo-Add-in-Angriff erklärt
Die Sicherheitsverletzung konzentrierte sich auf ein Outlook-Add-in namens AgreeTo, ursprünglich als legitimes Meeting-Planungstool entwickelt, das Nutzern ermöglichte, Arbeits- und persönliche Kalender zu kombinieren. Das Add-in wurde zuletzt im Dezember 2022 aktualisiert, bevor es vom Entwickler aufgegeben wurde. Als der Entwickler den Betrieb einstellte, versäumte er, das Add-in aus Microsofts Marketplace zu entfernen und ließ die zugehörige Domain verfallen.
Dieses Versehen erwies sich als katastrophal. Cyberkriminelle übernahmen die abgelaufene Domain (outlook-one.vercel.app) und verwandelten das einst legitime Add-in in ein ausgeklügeltes Phishing-Tool. Die bösartige Version zeigte gefälschte Microsoft-Login-Seiten in Outlooks Seitenleiste, erfasste Benutzeranmeldedaten und sendete sie über Telegram Bot API an Angreifer, bevor Opfer zu legitimen Microsoft-Login-Seiten weitergeleitet wurden.
Wie der Angriff funktionierte: Technische Details
Der Angriff nutzte mehrere kritische Schwachstellen in Microsofts Add-in-Architektur aus: Domain-Übernahme, Phishing-Kit-Integration, Missbrauch von Berechtigungen und Datenexfiltration. Sicherheitsforscher von Koi Security entdeckten den Angriff und fanden heraus, dass die gestohlenen Daten nicht nur Passwörter, sondern auch Kreditkartennummern, CVV-Codes, PINs und Bank-Sicherheitsantworten für Interac e-Transfer-Authentifizierung umfassten.
Das strukturelle Problem mit Outlook-Add-ins
Dieser Vorfall deckt grundlegende Mängel in Microsofts Add-in-Sicherheitsmodell auf. Im Gegensatz zu traditioneller Software, die kontinuierlich überwacht wird, werden Outlook-Add-ins nur bei der Erstübermittlung an den Marketplace geprüft. Nach der Genehmigung können sie dynamisch Inhalte von externen URLs laden, ohne weitere Überprüfung.
'Dies stellt eine kritische Lieferketten-Schwachstelle dar, bei der Office-Add-ins Inhalte dynamisch von Entwicklerservern abrufen, ohne laufende Überwachung,' erklärte Cybersicherheitsanalyst Mark Johnson. 'Die Architektur ermöglicht es, dass aufgegebene Domains übernommen und legitime Add-ins in Malware verwandelt werden.'
Das Problem ist besonders akut, da Microsofts Einreichungsprozess nur die Übermittlung eines XML-Manifests mit einer URL erfordert, nicht aber tatsächlichen Code zur Überprüfung. Diese Schwachstelle wurde erstmals 2019 identifiziert, bleibt aber in der aktuellen Architektur ungelöst.
Auswirkungen und Umfang der Verletzung
Der AgreeToSteal-Angriff (wie Forscher ihn nennen) betraf über 4.000 Outlook-Nutzer weltweit. Die kompromittierten Daten umfassen Microsoft-Konto-Anmeldedaten (4.000+, hohes Risiko), Kreditkarteninformationen (unbekannt, kritisch), Bank-Sicherheitsantworten (unbekannt, kritisch) und persönliche Identifikationsdaten (unbekannt, mittel-hoch). Forscher entdeckten, dass die Angreifer mindestens 12 verschiedene Phishing-Kits betreiben, die verschiedene Marken nachahmen, was auf eine größere, koordinierte Operation hindeutet.
Microsofts Reaktion und Nutzeraktionen
Microsoft hat das AgreeTo-Add-in nach der Entdeckung durch Sicherheitsforscher aus seinem Marketplace entfernt. Das Unternehmen hat jedoch keine grundlegenden Änderungen an seiner Add-in-Überwachungsarchitektur angekündigt.
Für betroffene Nutzer sind sofortige Maßnahmen erforderlich: Add-in deinstallieren, Passwörter ändern, Zwei-Faktor-Authentifizierung aktivieren, Finanzauszüge überwachen und Kontenaktivität überprüfen.
Breitere Implikationen für Unternehmenssicherheit
Dieser Vorfall hat bedeutende Auswirkungen auf Unternehmens-Cybersicherheitsstrategien, insbesondere für Organisationen, die auf Outlook für Geschäftskommunikation angewiesen sind. Der Angriff zeigt, wie vertrauenswürdige Plattformen zu Vektoren für ausgeklügelte Phishing-Kampagnen werden können.
Sicherheitsexperten empfehlen Organisationen, strenge Add-in-Genehmigungsrichtlinien umzusetzen, installierte Add-ins regelmäßig auf verlassene Erweiterungen zu überprüfen, Mitarbeiter über Risiken von Drittanbietererweiterungen aufzuklären und unternehmensfähige Sicherheits-Add-ons wie Microsoft Purview zu nutzen. Der Vorfall unterstreicht auch die Bedeutung von Lieferkettensicherheit in Software-Ökosystemen.
FAQ: Outlook-Add-in-Sicherheitsverletzung 2026
Was ist der AgreeTo-Add-in-Angriff?
Der AgreeTo-Angriff ist ein Cybersicherheitsvorfall, bei dem ein legitimes Outlook-Add-in von Angreifern übernommen wurde, nachdem sein Entwickler es aufgegeben hatte, und in ein Phishing-Tool verwandelt wurde, das über 4.000 Nutzeranmeldedaten und Finanzdaten stahl.
Wie viele Nutzer waren betroffen?
Über 4.000 Outlook-Nutzer hatten ihre Microsoft-Konto-Anmeldedaten gestohlen, mit wahrscheinlich weiteren Opfern durch Finanzdatendiebstahl einschließlich Kreditkartennummern und Bankinformationen.
Was sollten betroffene Nutzer tun?
Sofort das AgreeTo-Add-in deinstallieren, alle betroffenen Passwörter ändern, Zwei-Faktor-Authentifizierung aktivieren, Finanzkonten auf verdächtige Aktivitäten überwachen und Kontosicherheitseinstellungen überprüfen.
Behebt Microsoft die zugrunde liegende Schwachstelle?
Microsoft hat das bösartige Add-in entfernt, aber keine grundlegenden Änderungen an seiner Add-in-Überwachungsarchitektur angekündigt, die von Sicherheitsforschern als unzureichend kritisiert wurde.
Wie kann ich mich vor ähnlichen Angriffen schützen?
Nur Add-ins von vertrauenswürdigen Entwicklern installieren, installierte Erweiterungen regelmäßig überprüfen, Zwei-Faktor-Authentifizierung aktivieren, starke eindeutige Passwörter verwenden und bei unerwarteten Login-Aufforderungen in Anwendungen vorsichtig sein.
Quellen
The Hacker News: Erstes bösartiges Outlook-Add-in gefunden
Bleeping Computer: Outlook-Add-in gehackt, um 4.000 Konten zu stehlen
