Outlook Mail Hacked - Welche Sicherheitslücke?

Also vorgestern Abend war ich bei Verwandten und wurde darauf aufmerksam gemacht eine Mail gesendet zu haben. Das war nicht der Fall, nach einer Prüfung der Umstände war eindeutig, dass diese unbefugt über meinen Acc. gesendet wurde, da:

- im Quelltext alle Sender-Adressen meinen Account listen
- an meine Kontakte im Adressbuch gesendet wurde
- Die Nachricht auch im "Gesendet" Ordner meines Accounts angezeigt wird.

Zunächst habe ich erste Schritte unternommen wie z.B. hier angeführt: http://www.wonderoftech.com/hack-attack-wh…mail-is-hacked/ also PW geändert, computer überprüft, Kontakte informiert und bin eben nachwievor auf der Suche nach der Ursache.

Was es wohl nicht sein kann:
- Passwort Qualität: 13 stell. alpha-nummerischerisches PW mit Sonderzeichen
- Computer Infiziert: Ich verwende denke ich ausreicheinde Sicherheitsoptionen, würde etwas länger dauern anzuführen aber nichts gegenseitig störendes. Sagen wir so - es wäre spätestens bei den Scans ~(da intensiver) nach folgender Anleitung aufgefallen: http://www.techsupportalert.com/content/how-kn…er-infected.htm
° Ich klicke auf keinerlei Phishing links oder gebe sont wo Anmeldedaten Preis bzw. öffne unbekannte Mails
- Ich achte auch auf gültige Zertifikate usw.
- Fremdnutzung des PCs: Wohne allein, kein Einbruch und es hat niemand Zweit-Schlüssel, ...

Weitere Hinweise:
- Erst heute habe ich bemerkt, dass neben meinen beiden genutzen Accounts (@hotmail.com) noch ein weiterer Account (@live.at) genutzt wurde auf dem ich mich aber schon Monate nicht angemeldet habe. Alle haben unterschiedliche Kennwörter. Ich nutze aber auch noch einen 4. Account (gmx.at) der zumindest nicht für Versand einer Spam Mail genutzt wurde.
- Die Passwörter werden einerseits lokal mittels FF-Interner Funktion, andererseits über FF-Sync gespeichert. In Thunderbird sind diese ebenso gespeichert, aber nur für die beiden hotmail-accounts. Ich hatte aber kein Master-PW gesetzt, mittlerweile korregiert.
- Ich hatte AVAST Secureline VPN getestet und war wärenddesssen mit FF und seinen Add-Ons mal aktiv - während ich zu den Outlook accounts verbunden war. Zwar über https aber ein zZ freies VPN ist da nicht die beste Methode - dennoch wie gesagt hatte ich den live.at account seit längerem nicht benutzt.
- Der Quelltext war wenig Hilfreich - Sender IP z.B. 65.54.190.142 (bay0-omc3-s4.bay0.hotmail.com)
- Die zum Vorfall verwendete Software: Win7x64sp1, FF 21b2 / PaleMoon 20.0.1 (jeweils mit den AddOns: ABP 2.2.3 +Pop Up Addon 0.7, Avast WebRep 8.0.1483, CookieCuller 1.4, DNS Flusher 2.0.5, DoNotTrackMe 2.2.8.307, Flash Video Dl - YT 3.8.7, FoxLingo 2.7.8, Ghostery 2.94, NoScript 2.6.6, Self-Destructing Cookie 0.3.6.1, Test Pilot 1.2.2, TrackMeNot 0.6.728, X-Notifier 3.1.3; an Plugins: Flash 11.7.700.182, Silverlight 5.1.20125 - Java ist zwar installiert aber nur für Anwendungen - die Plugins sind deaktiviert, weiters nur für FF gültig: NVIDIA 3D Vision und Intel Ident Protection), Thunderbird 21.0b1 (12 AddOns aber da der live acc. nicht gespeichert ist, lass ich das mal aus)

Was möglich wäre:
- Über eine Sicherheitslücke in FF/AddOn/sonst einem installierten Tool konnte auf die lokal gesicherten Passwörter zugegriffen werden. Am ehesten in Verdacht hätte ich X-Notifier aber es nutzt ja eig. nur Firefox/Outlook funktionalitäten. (aktuell deaktiviert) Zudem der Hinweis: ich hatte schon früher WebMailNotifier genutzt und dort alle 4 Accounts gespeichert. In X-Notifier war der live.at account aber nicht gespeichert. Leider/zum Glück? hatte ich vergessen wmn passwörter zu löschen.
- Eine Lücke in FF-Sync - Das IMHO unwahrscheinlichste
- Eine Lücke in Outlook Service (Entweder damit die Login-Daten ausgelesen werden können, oder ohne dass diese bekannt und reelle Login Daten genutzt wurden direkt der Dienst diese Mails verschickt hat.) Das wäre eine (von sicher mehreren) Erklärung(en) warum nur über Outlook, nicht jedoch GMX Spam versendet wurde und warum deren IP als Sender angegeben ist. Dann wäre ich aber sicher kein Einzelfall und es müsste was bekannt sein.
(- Sicher gibt es noch die Möglichkeit einer neuen Methode für Brute Force Attacken oder einen direkten Hack bei mir, aber da stellt sich die Frage: warum der Aufwand bei mir - es ist jetzt nichts besonderes auf den Accounts, nur Private Infos und es erweckt eben den Eindruck der Nutzung einer Lücke fürs Spammen)

Also was meint ihr wo die Lücke besteht? Was kann ich noch tun um der Sache auf den Grund zu gehen? Sollte ich die Frage lieber/zusätzlich in einem anderen Portal stellen also wo - bin über Tipps ebenso froh.

Palli Also in Bezug auf klick/öffnen von links/anhängen, NoScripts Berechtigungen etc. ganz sicher.
Ich bin auch nicht bei Facebook, versuche meine Daten soweit wie möglich nicht oder falsch herauszugeben etc. Die Inhalte waren bei allen 3 Accounts jeweils nur 1 Link (jedoch unterschiedlich), also wenig aussagekräftig. Nachfolgend mal ein Quelltext (XXX war immer meine Adresse, YYY Hashes - da bin ich nicht so informiert über Mail Header was ev. damit anzufangen ist um das Frei im Netz zu posten, bei Info darüber reiche ich gern noch was nach):

x-store-info: YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
Authentication-Results: hotmail.com; spf=pass (sender IP is 65.54.190.142; identity alignment result is pass and alignment mode is relaxed) smtp.mailfrom=XXXXXXXXXXXXXXXXXXXXXXXXXXX; dkim=none (identity alignment result is pass and alignment mode is relaxed) header.d=hotmail.com; x-hmca=pass
X-SID-PRA: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
X-AUTH-Result: PASS
X-SID-Result: PASS
X-Message-Status: n:n
X-Message-Delivery: YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
X-Message-Info: YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
Received: from bay0-omc3-s4.bay0.hotmail.com ([65.54.190.142]) by BAY0-MC4-F22.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
	 Sat, 20 Apr 2013 10:35:02 -0700
Received: from BAY002-M56 ([65.54.190.187]) by bay0-omc3-s4.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
	 Sat, 20 Apr 2013 10:35:02 -0700
X-EIP: [YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY]
X-Originating-Email: [XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX]
Message-ID: <BAY002-YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY@phx.gbl>
Return-Path: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Content-Type: multipart/alternative;
	boundary="YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY"
From: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
To: ***********************************
Subject:
Date: Sat, 20 Apr 2013 19:35:00 +0200
Importance: Normal
MIME-Version: 1.0
X-OriginalArrivalTime: 20 Apr 2013 17:35:02.0597 (UTC) FILETIME=[637C7F50:01CE3DED]


--_2b8ebba1-eb47-4282-b6b7-00431c087ea4_
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


http://www.azmagroup.com/desertbagdarrendoyle/
 		 	   		  =


--_2b8ebba1-eb47-4282-b6b7-00431c087ea4_
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


<html>
<head>
<style><!--
.hmmessage P
{
margin:0px=3B
padding:0px
}
body.hmmessage
{
font-size: 12pt=3B
font-family:Calibri
}
--></style></head>
<body class=3D'hmmessage'><div dir=3D'ltr'>http://www.azmagroup.com/desertb=
agdarrendoyle/<br> 		 	   		  </div></body>
</html>=


--_2b8ebba1-eb47-4282-b6b7-00431c087ea4_--

Bernd Stimmt, Bootmedium werde ich noch Prüfen. Bez. gismo finde ich nur einfach der Ansatz: nur mit Virenscannern zu prüfen ob bekannte Malware vorhanden ist, ist nicht so sicher als zudem mit allen gängigen Tools auf Rootkits zu Prüfen sowie was aktuell wirklich alles geladen ist und automatisch geladen wird. Als HIPS/Firewall verwende ich btw auch Emsisoft Online Armor.

Da keine Statusänderung bei einem Post-Edit habe ich Änderungen raus genommen um es extra posten zu können:

Abgesehen von dem Tipp den Bootmediums kam noch nichts? Also gut, mal mein Exkurs was ich so verwende, zuletzt getestet habe:

Aktiv: AddOns für Browser habe ich ja schon erwähnt. Ich achte auch darauf, dass meine Software aktuell ist (über Newsseiten, Secunia, Sumo-noRK und Überprüfung bei Neuinstallationen), Avast Free AV 8, Emsisoft Online Armor 6 (dennoch UAC aktiv), dabei alles auf max Heuristik mit hoher User-Interaktion eingestellt.
OnDemand: Mbam/Mbar, Emsisoft AM, Hitman Pro, Überprüfung notwendiger/korrekter Dienste/Autostart, vor allem mit Comodo's CCE (Autoruns/Killswitch wird eig. bei fast den meisten Installationen oder sonst regelmäßig durchgeführt, dabei auch die "safe" Einträge geprüft und auf Zertifikate geachtet, CCE bei Bedarf), sollte eine Datei kein Zertifikat haben und der Hauch von Skepsis macht sich breit - Scan bei virustotal, natürlich auch bei neuen Downloads. CA-Stellen versuche ich aktuell zu halten.
Zudem nun getestet: Avira & Kaspersky Rescue CD, pmagic_2013_02_28 Virscan, HiJackThis Auswertung

Was ich gerne noch machen würde: Comodo Rescue Disk Scan aber da hab ich ein Problem beim booten der CD/des Images, dass wohl an nem fehlerhaften Treiber-Modul liegt. Weiters könnte ich noch mit einschlägigen Foren-Tools scannen - Stichwort OldTimer - aber möchte erstmal den aktuellen Stand posten. Ich denke dennoch, dass es schwer ist, das System zu kompromittieren, bin davon nicht überzeugt und wenn müsst es eher ein direkter z.Z. noch unbekannter Hack sein wo mir solche Scans wenig helfen. Also für weitere Tipps wäre ich dankbar.

Sry, aber inwiefern soll das wirklich helfen?

Die Unterschiede sind bekannt aber da Beta würde ich mich nicht nur auf das eine verlassen. Es ist aber nicht nur die Korrektur beim Booten, ich verweise mal auf http://www.techrepublic.com/blog/security/…ot-pursuit/9207

Hitman finde ich hat durchaus gute Erkennungsraten (aufgrund eigener und gelesener Tests), da es aber recht aufdringlich ist, verwende ich's nur zum Scannen und das - ein Punkt den ich vergessen hab zu erwähnen - in einer VM.

Mit Virustotal kann ich aber nicht das ganze System scannen, und nur dafür verwende ich die weiteren Scanner um auch andere Engines mit einzuschließen. Comodo naja den AV als solchen verwende ich gar nicht, hauptsächlich Autoruns/Killswitch, aus CCE nur wegen RK & Co Scans.

Natürlich nehme ich Zertifikate nicht als bare Münze. Du übertreibst da jetzt aber auch ziemlich. Ich beziehe mich dabei auf vorhandene Dateien die ich mit Autoruns prüfe. Und das nur als zusätzliche Unterstützung.

HJT - Naja hauptsächlich weils schnell geht, oft rezitiert wird und eben gleich sagen zu können - hab ich getestet - wenn ich daran denk was bisher an Ratschlägen kam. Was mir unklar ist: was meinst du mit: bei 32bit nicht tauglich?

Mit Paranoia hat das wenig zu tun, nur Überprüfung über mehrere Stellen um sehr grob gesagt Erkennungslücken auszuschließen - speziell nach einer möglichen Kompromittierung. Wie dem auch sei, die Grundverteidigung liegt eh darin erst gar nichts unbekanntes sowie ungeprüftes auf das System zu lassen als auch so wenig wie möglich Angriffsfläche zu bieten (deaktivierte Dienste usw.).

Stattdessen unterstellst du (da in keinster Weise irgendwas gefragt, vl. gibt es auch noch Sachen die ich vergessen hab) einfach mal fehlendes Grundwissen, führst dieses auch weder an noch was für Schritte du empfiehlst. Also danke überhaupt für eine Hilfestellung, sicher gut gemeint, aber ich nehme es mir mal heraus dich auf den Link hinzuweisen und bitte ganz einfach darum etwas konstruktiver zu werden.

Du machst es schon wieder, obwohl ich dich darauf hingewiesen hab, also:

"den Lücken nachzugehen" Darum geht es ja in dem Thread - herauszufinden wie das passieren konnte. Die Scan-Software ist NUR (SIZE:10000, Rufzeichen hoch 50) eine unterstützende Maßnahme um festzustellen, ob vorhandenen Präventivmaßnahmen umgangen worden sind.

layered security - Ist mir ein Begriff, verwende ich - da hast du hast du nicht aufgepasst nur habs nicht in der Form erwähnt. Zudem ist die Info IMHO nicht ausreichend aber ich greife vor. Ich stelle AV oder eig. AM-Scanner nicht dahin wo du behauptest. Zur Erläuterung zu dem Thema: So beschreibt es Wiki, der Link beschreibt nachwievor gängige Methoden:

• Backup - mach ich - nicht erwähnt - ein Rückspielen bringt aber nichts ohne zu wissen wann genau es wirklich passiert ist und wie um vor allem die Lücke zu schließen
• Updates - habe ich bereits erwähnt
• Firewall - habe ich erwähnt - zumindest Software - Hardware als Router natürlich auch - Ein Linksys WRT350N mit DD-WRT und immer wieder aktualisierter aber nicht brand-neuerster sondern erstern tests unterlauferner FW
• Antimalware/Antivirus/Zero Day Protection dafür dient Avast, wie gesagt auf max. Sicherheit eingestellt (immer hohe Heuristik, Hohe Userinteraktion usw und mit seinen Netzwerk-Schutz/Script-Schutz/Verhaltens-Schutz Modulen als zusätzliche Layer vielen Produkten vorraus.
• Web Browser Security - die AddOns habe ich gelistet, das Master PW hatte ich nicht gesetzt und hätte das vl. verhindern können, aber war nicht die Ursache wie überhaupt was aufs System kommen konnte (wenn das denn überhaupt der Fall ist), und dann hätt ichs auch gar nicht bemerkt und soweit ist nichts schlimmeres passiert, als dass ein paar spam mails versendet wurden.
• System Isolation - Browser wird isoliert, Berechtigungen sind auch noch weiter eingeschränkt als Win-Defaults und der Rest kommt nur aus Vertauenswürdigen Quellen die dennoch gescant werden. Ich würde gerne statt OnlineArmor - Comodo verwenden und diesen Ansatz fahren aber z.Z. hat Comodo FW noch 2, Sandbox 1 mir bekannte (also mind.) gravierende Sicherheitslücke(n) die das verhindern.

In Wiki gibt's noch mehr zum Consumer Level aber die sind bei mir nicht Anwendbar, kommen wir zum Enterprise Layer/Defense in Depth, da weise ich auch noch auf den Link hin.

• monitoring, alerting, and emergency response/ Workstation application whitelisting: Aka Hips - habe ich bereits erwähnt
• Workstation and network authentication/Secure boundary and end-to-end messaging: Darunter verstehe ich SSL & Co. Nun ein VPN zwischen 2 bestimmten Partnern ist durchaus sicher realisierbar, aber https usw. hat alles seine Schwächen. Ich verwende es wos geht aber mit dem Wissen, dass es nur ein weiterer Layer ist, der mir im schlimmsten Fall nichts bringt. Schlecht angewendet geht sowas sogar nach hinten los da es andere Layer (HW-Firewall z.B.) außer kraft setzt.

Tja und der Rest bringt mir als client im WAN recht wenig bzw. ist nur mit einem dermaßen immensen Aufwand&Know-How zu bewerkstelligen, dass es schon fast lächerlich wird.

Davon abgesehen: es gibt nichts das absolut sicher ist, außer ner "Insel" vor "WAN" Attacken - weiß jeder. Selbst vor Layer Security macht malware nicht halt - meine Links zu alt? Na dann aktueller. Btw. rein Consumer Layer ist ja IMHO schon zu wenig, hätte ich das nicht, nur das gefunden, und implementiert wäre dein Post auch wenig hilfreich. Bei nem richtigen Hack, hat man eh nur wenig Chancen, man kanns nur so schwieirig wie möglich gestalten und gegen Vertriebswege von Malware absichern. Worum es mir geht (und das sollte jedem klar sein, der den ersten post aufmerksam gelesen hat): herauszufinden wie es passieren konnte und verhindern, dass es wieder passiert.

Ich habe NIE (SIZE:10000, Rufzeichen hoch 50) behauptet: das System so belassen zu wollen (sei es Backup/neu Aufsetzen/Änderungen an SW/...), noch dass ich diese Prüfungen als heiliges Mittel sehe - Malware gefunden und gut ist. Wie gesagt nur ein Unterstützendes Mittel, aber ich wiederhole mich.

HJT Ich habe nichts zu Zweckfrei gefragt sondern 32bit nicht tauglich?

So jetzt noch-ein-mal: Wenn du bereit bist und das Wissen hast konstruktiv zu helfen, dann freue ich mich darüber. Annahmen, die letzten endes nur beleidigen, Hinweise auf bessere Möglichkeiten ohne diese aufzuzeigen, den Thread nicht ordentlich lesen und direkte Hinweise ignorieren endet letzt endlich nur darin, dass du den Thread zuspamst (siehe Link auf den ich zuletzt, also im letzten Absatz des vorherigen posts, verwiesen hab). Und ohne aggressiv wirken zu wollen, machst du das noch einmal, melde ich das nem Mod! Dass ich aber etwas verärgert bin ist hoffentlich verständlich, da es schon an Frechheit grenzt.

Falls nicht deutlich genug war, was ich alles damit meine: Hinweise darauf welche Security Software geeignet ist - ist ganz nett aber ohne zu wissen warum/wie ich die Einsetze sinnlos. Korrekturen nebenbei dass etwas so nicht stimmt (mit Quelle) nehme ich "ansich" gerne an (man sollte sich aber aufs Problem konzentrieren). Der Hinweis zu layered security bringt hingegen schon gar nichts, da vorhanden (ohne beleidigend sein zu wollen stellt es deine Kompetenz in Frage sowas vorzuschlagen obwohl die meisten Infos dazu schon gepostet wurden). Zusammenfassend könnte man fast sagen, deine bisherige Aussage lautet: du hast keine Ahnung, versuchs mal mit bissal weniger.

Du kannst nebenbei vl. fragen ob mir das so klar ist, wie das Konzept genau aussieht usw. Was etwas bringen würde: zu sagen ich sehe hier und hier schwächen in dem Konzept; Erklärungen/links wies besser geht; Möglichkeiten das auszutesten/nachzustellen, ...... Und das bezieht sich nur auf meinen PC. Es gibt unzählige Seiten im Internet und ich bewege mich damit verglichen in einem minimalen Bereich, dass heißt es ist gut möglich dass mir was entgangen ist und eben doch auch Firefox Sync/Microsoft Outlook entsprechende Lücken aufwies. Microsoft Security Center - Kein Problem, aktuellere Meldung um Beispiele zu nennen.

EDIT: nach nochmaliger Aktion seitens "Benrd." Mod benachrichtigt mit genauer Begründung mit Bitte um Löschung seines Posts und Abmahnung. Eine Hilfestellung wäre immer noch wünschenswert, es dürfte aber keinen wundern, wenn ich mich andernorts umsehe, also nicht erst Google zwecks ersten Anlaufs bemühen - da hab ich genug gesucht (natürlich auch in diesen und anderen Foren, und dennoch gilt: ich bin nicht perfekt und kann was übersehen haben).