Übersicht
Am 14. April 2025 um 15:54 Uhr UTC wurde erstmals gemeldet, dass Benutzer Spam erhalten, der von der Domäne sophos.com stammt. Innerhalb einer Stunde wurde unser Sophos Internal Detection and Response-Team darauf hingewiesen und begann mit der Analyse des Berichts.
Im Rahmen dieser Analyse wurde herausgefunden, dass mithilfe von Testkonten ein Logikfehler ausgenutzt wurde. Bei diesem Logikfehler geht es darum, wie Sophos Email validiert, ob Absender für das Weiterleiten über unseren Cloud-E-Mail-Dienst autorisiert sind.
Unser Team ergriff während einer Analyse, wie die Angreifer diese Validierungsrichtlinie umgehen konnten, sofort Maßnahmen. So wurden u. a. die Konten und IP-Adressen blockiert, die an diesem Missbrauch beteiligt waren.
Die Analyse ergab, dass die Logik, mit der eingeschränkt wurde, dass ein Kundenkonto nur E-Mails von eigens kontrollierten Domänen senden kann, nicht streng genug war. Um diese Art von Missbrauch in Zukunft zu vermeiden, wurden dauerhafte Lösungen implementiert. Außerdem wurden Einschränkungen für Testkonten eingeführt, um zu verhindern, dass nicht verifizierte Konten in Zukunft nach Fehlern suchen können.
Auswirkungen
Die Angreifer konnten ca. 1,9 Millionen nicht schädliche Spam-Nachrichten über die Sophos-Gateways senden. Bei diesem Missbrauch wurden vorwiegend die ausgehenden E-Mail-Adressen „info [AT] sophos [PUNKT] com“ und „news [AT] sophos [PUNKT] com“ verwendet. Allerdings wurden in 30 Nachrichten auch die Domänen von 12 Sophos Email-Kunden imitiert. Alle betroffenen Kunden wurden vom Sophos-Support benachrichtigt.
Zeitleiste
| Uhrzeit | Veranstaltung |
| 2. April 2025 | Ein erstes Testkonto wird von Bedrohungsakteuren erstellt, um herauszufinden, wie die ausgehende Filterrichtlinie, die zur Verhinderung von Domänen-Impersonation-Angriffen dient, umgangen werden kann. |
| 13. April 2025, 18:00 Uhr UTC | Der Bedrohungsakteur beginnt damit, große Mengen ausgehender E-Mails über Sophos Email-Gateways zu senden. |
| 14. April 2025, 15:54 Uhr UTC | Erster Beitrag auf Reddit vom Benutzer „/u/jegraves“, der sich über Spam wundert, der von „info [AT] sophos [PUNKT] com“ stammt. |
| 14. April 2025, 16:52 Uhr UTC | Das Sophos Internal Detection and Response-Team (IDR) wird auf den Reddit-Beitrag aufmerksam gemacht und nimmt eine Ersteinschätzung des Vorfalls vor. |
| 14. April 2025, 17:05 Uhr UTC | Sophos IDR beginnt mit der Analyse mit wichtigen Stakeholdern. |
| 14. April 2025, 19:07 Uhr UTC | Sophos blockiert die Domäne, die mit der Spam-Kampagne verknüpft ist. |
| 15. April 2025, 06:00 Uhr UTC | Änderungen werden in die Produktion übertragen, um ein Spoofing von sophos.com zu verhindern. |
| 15. April 2025, 16:33 Uhr UTC | Alle IP- und E-Mail-Adressen im Zusammenhang mit dem Missbrauch werden in Sophos Email blockiert. |
| 17. April 2025, 11:51 Uhr UTC | Alle Testkonten im Zusammenhang mit Spam-Kampagnen werden deaktiviert. |
| 19. April 2025, 04:59 Uhr UTC | Die Richtlinie wird geändert, um zu verhindern, dass Testkonten in der Zukunft ausgehende E-Mails senden können, die nicht von einem Partner oder Reseller verwaltet werden. |
Analyse
Aus offensichtlichen Gründen muss Sophos Email den Ursprung aller Nachrichten berücksichtigen, die für eine ausgehende Weiterleitung übermittelt werden, um Missbrauch zu vermeiden. Als der Dienst gestartet wurde, leitete das System E-Mails nur weiter, wenn sowohl der Envelope-Absender (oder bei NULL die From-Header-Adresse) als auch die IP-Adresse zum selben, mit der Domäne verknüpften Kunden gehörten. Dies führte zu Problemen bei weitergeleiteten Nachrichten, z. B. Kalendereinladungen, die die Kriterien nicht erfüllten und deswegen abgelehnt wurden.
Im Jahr 2019 wurde diese Logik geändert, um sowohl den Absender-Header als auch den Envelope-Absender und den From-Header zu berücksichtigen. Dadurch konnte ein Benutzer, der eine externe Kalendereinladung von example.org erhält, diese an einen Freund auf example.com weiterleiten, solange der Absender-Header zu diesem Kunden gehörte. Dies galt auch dann, wenn der From-Header nicht von der Domäne des Kunden, sondern von einer externen Domäne stammte.
Die Angreifer haben dann genau das ausgenutzt. Ein böswilliger Absender konnte ein Testkonto registrieren und eine Nachricht senden, bei der der Envelope-Absender NULL, der Absender-Header eine E-Mail-Adresse in der Domäne des Testkontos und die From-Adresse eine aktiv von anderen Sophos Email-Kunden verwaltete Adresse war, meist sophos.com.
Zwar haben die Angreifer scheinbar bereits am 2. April 2025 ein Testkonto registriert. Anfangs schienen sie aber nur experimentiert zu haben. Das eigentliche Spammen begann erst am 12. April 2025, sodass die Dauer des Missbrauchs sich insgesamt auf weniger als zwei Tage beschränkte.
Lösung
Sofortige Maßnahmen
Am 15. April 2025 wurden sofort Maßnahmen ergriffen, um Domänen und IP-Adressen im Zusammenhang mit den Angreifern zu blockieren und 24 Konten im Zusammenhang mit den Spam-Aktivitäten zu deaktivieren.
Die Änderungen an der primären Logik zur Lösung dieses Vorfalls wurden am 16. April 2025 implementiert und beinhalteten die Verbesserung der 2019 implementierten Richtlinie, um diese strenger zu gestalten. Bei Sophos Email muss die From-Header-Domäne jetzt zum selben Kunden wie der Absender-Header gehören, wenn der Envelope-Absender NULL ist. Dadurch wird der zuvor beschriebene Kalender-Anwendungsfall ermöglicht, während gleichzeitig verhindert wird, dass Kunden andere über Sophos Email verwaltete Domänen imitieren.
Eine dritte Änderung wurde am 18. April 2025 implementiert, um zukünftigen Missbrauchsversuchen vorzubeugen. Testkonten können jetzt keine ausgehenden E-Mails mehr senden. Dies gilt für alle in der Zukunft erstellten Testkonten, wenn sie nicht von einem Sophos-Partner erstellt wurden.
Sophos möchte sich bei /u/jegraves dafür bedanken, uns auf dieses Problem hingewiesen zu haben. Im Rahmen unseres Bug-Bounty-Programms haben wir diesem Benutzer mit einem Award ausgezeichnet.
Langfristige Maßnahmen
Die Funktionen zur Erkennung verdächtiger Aktivitäten aus Testkonten in Sophos Email wurden verbessert. Die meisten böswilligen Aktivitäten beginnen kurze Zeit nach der Erstellung eines Kontos. Dadurch können das Kontoverhalten analysiert und die Eindämmung von Missbrauch proaktiver angegangen werden.
Zusätzliche Maßnahmen
Kunden sollten verdächtige oder Spam enthaltende E-Mails von „info [AT] sophos [PUNKT] com“ und „news [AT] sophos [PUNKT] com“ löschen, falls sie sie zwischen dem 13. April 2025 und dem 16. April 2025 erhalten haben.
Wenn Sie weitere Fragen haben oder Unterstützung im Zusammenhang mit diesem Vorfall benötigen, wenden Sie sich über eine der folgenden Kontaktoptionen an den Sophos-Support:
- Fall erstellen: Melden Sie sich im Support-Portal an und klicken Sie auf „Hilfe“ > „Support-Ticket erstellen“.
- MDR-Kunden: Wenden Sie sich über Ihr MDR-Dashboard an uns oder kontaktieren Sie den Ihnen zugewiesenen Sophos-Threat-Response-Ansprechpartner direkt.