Outlook Add-in Hack: Wie ein offizielles Plugin tausende Passwörter stahl

Von Sergii PastbinCybersecurity, Microsoft, Schwachstellen, Sicherheitslücken
Inhaltsverzeichnis
  1. Der blinde Fleck im Microsoft Marketplace
  2. Die perfekte Illusion im Postfach
  3. Warum normale Warnsysteme hier versagten
  4. FAQ: Häufige Fragen zur Outlook-Sicherheit
Outlook Add-in Hack 2026

Dein E-Mail-Postfach ist der absolute Tresorraum deines digitalen Lebens. Um diesen Tresor sicherer und effizienter zu machen, vertrauen Millionen Unternehmen auf offizielle Plugins (Add-ins) direkt aus dem Microsoft Marketplace. Schließlich hat der Konzern diese Werkzeuge persönlich geprüft. Doch ein aktueller Bericht der Sicherheitsforscher von Koi Security, der vom renommierten IT-Journalisten Ravie Lakshmanan auf The Hacker News detailliert aufbereitet wurde, zerschlägt dieses Vertrauen in Tausend Stücke. Zum allerersten Mal wurde in freier Wildbahn ein aktives, bösartiges Outlook-Plugin entdeckt, das die Logins ahnungsloser Nutzer direkt absaugte.

Ich habe diesen Vorfall, der unter dem Namen „AgreeToSteal“ läuft, detailliert analysiert. Die Täter haben die Server von Microsoft nicht mit roher Gewalt aufgebrochen. Sie spazierten vielmehr durch eine Hintertür herein, die der Konzern selbst offen gelassen hat. Hier ist meine ungeschönte Aufarbeitung dieses Outlook-Add-in-Hacks, wie die Hacker über 4.000 Konten plündern konnten und warum du den Tools in deinem Postfach ab sofort zutiefst misstrauen musst.

Der blinde Fleck im Microsoft Marketplace

Um die Raffinesse dieses Supply-Chain-Angriffs zu begreifen, müssen wir uns ansehen, wie Plugins funktionieren. Die Malware versteckte sich in einem Tool namens „AgreeTo“ – einer eigentlich völlig legitimen Erweiterung zur Terminplanung, die seit Jahren im Store verfügbar war.

Outlook Add-in Hack

Der ursprüngliche Entwickler hatte das Projekt jedoch Ende 2022 aufgegeben und aufgehört, für die externe Web-Domain zu bezahlen, über die das Plugin im Hintergrund seine Benutzeroberfläche lud. Genau hier lauerten die Angreifer. Sie kauften die abgelaufene Domain für wenige Euro einfach auf. Das fatale Problem: Microsoft prüft Add-ins extrem streng, aber eben nur in dem Moment, wenn sie zum ersten Mal im Marketplace eingereicht werden. Niemand im Konzern überwacht dynamisch, wem die externen Server gehören, die das Plugin Jahre später lädt. Mit dem Kauf der Domain hatten die Hacker das offizielle Plugin praktisch übernommen, ohne eine einzige Zeile Code bei Microsoft ändern zu müssen.

Die perfekte Illusion im Postfach

Was passierte nun bei den Nutzern? Wenn ein ahnungsloser Anwender, der das AgreeTo-Plugin noch installiert hatte, dieses in seinem Outlook öffnete, lud die gekaperte Domain nicht mehr den Kalender. Stattdessen wurde eine extrem professionelle, gefälschte Anmeldemaske von Microsoft eingeblendet.

Offline-Schutz für deine Verträge: Das gekaperte Plugin hatte Lese- und Schreibrechte für alle Mails. Bewahre hochsensible Kundendaten, Seed-Phrases oder Unternehmensgeheimnisse niemals dauerhaft im Outlook-Postfach auf. Ziehe kritische Dateien auf einen hardware-verschlüsselten Offline-Speicher mit PIN-Eingabe, wie den iStorage datAshur PRO (auf Amazon ansehen). Selbst wenn dein Postfach gehackt wird, bleiben diese Daten absolut unantastbar.

Anzeige

Nr. 1
iStorage datAshur Pro+C 32 GB – Sicherer USB-Stick Typ C – FIPS 140-3 Level 3 Zertifiziert – geschützt durch PIN-Code – Adapter Typ C-A inklusive
iStorage datAshur Pro+C 32 GB – Sicherer USB-Stick Typ C – FIPS 140-3 Level 3 Zertifiziert – g*
von iStorage
  • USB 3.2 Type-C Stick mit PIN-Code verschlüsselt und einfach zu bedienen. (USB Typ-C auf Typ-A Adapter im Lieferumfang enthalten) Perfekte Lösung zum Schutz Ihrer digitalen Assets. Geben Sie einfach einen 8-15-stelligen PIN-Code ein, um sich zu authentifizieren und als normalen USB-Stick zu verwenden. Wenn das Laufwerk getrennt wird, werden alle Daten mit der AES-XTS 256-Bit-Hardwareverschlüsselung verschlüsselt.
  • Der datAshur PRO+C ist das erste und einzige verschlüsselte Flash-Laufwerk der Welt, das auf das neue FIPS 140-3 Level 3-Schema wartet. Das Gerät hilft Ihnen, die Einhaltung der Datenvorschriften wie HIPAA, CCPA, RGPD usw. sicherzustellen.
  • Übertragen Sie Ihre Dateien in Sekundenschnelle: ultraschnelle abwärtskompatible Datenübertragungsgeschwindigkeiten. Bis zu 310 MB/s Lesen und 246 MB/s Schreiben.
 Preis: € 161,65 Jetzt auf Amazon kaufen* Preis inkl. MwSt., zzgl. Versandkosten
Zuletzt aktualisiert am 2. April 2026 um 20:23 . Wir weisen darauf hin, dass sich hier angezeigte Preise inzwischen geändert haben können. Alle Angaben ohne Gewähr.

Weil diese Maske direkt im vertrauten Fenster von Outlook auftauchte, schöpften die Opfer keinen Verdacht. Sie tippten ihre Passwörter ein, welche daraufhin sofort über eine API an einen Telegram-Bot der Cyberkriminellen geschickt wurden. Bevor Microsoft das Add-in Mitte Februar 2026 löschte, wurden so tausende Konten kompromittiert. Das wirklich Erschreckende an diesem Vorfall: Das Plugin besaß die Berechtigungsstufe ReadWriteItem. Die Täter hätten rein technisch die Macht gehabt, E-Mails im Hintergrund zu lesen, zu manipulieren oder Schadcode an Kontakte der Opfer zu senden.

Warum normale Warnsysteme hier versagten

Das Perfide an dieser Kampagne ist die Umgehung klassischer Sicherheitsmechanismen. Normale Phishing-E-Mails landen im Spam-Ordner oder werden vom Antivirus blockiert. Doch hier befand sich der Schadcode innerhalb einer offiziell autorisierten Anwendung.

Wenn du dich jetzt fragst, wie du dich gegen einen solchen Angriff von innen heraus wehren kannst, lautet die Antwort: Zero Trust und unbestechliche Hardware. Unternehmen müssen zwingend regelmäßige Audits ihrer M365-Umgebungen durchführen und alle ungenutzten oder veralteten Plugins rigoros löschen. Zudem wird hier der Wert von echten FIDO2-Hardware-Schlüsseln (wie YubiKey) offensichtlich. Eine MFA-App am Smartphone hätte dich bei der gefälschten Maske vielleicht noch nach einem Code gefragt. Ein Hardware-Schlüssel hingegen verweigert kategorisch den Dienst, weil er kryptografisch erkennt, dass die versteckte Domain im Plugin nicht https://www.google.com/search?q=login.microsoftonline.com ist.

Im Endeffekt beweist dieser erste große Outlook-Add-in-Hack, dass die Zeiten des blinden Vertrauens in offizielle App-Stores endgültig vorbei sind. Ein Supply-Chain-Angriff benötigt heute keine brillanten Hacker mehr, sondern oft nur eine abgelaufene Kreditkarte eines unachtsamen Entwicklers. Wer die Tore zu seiner Unternehmenskommunikation nicht durch harte Audits, das Prinzip der geringsten Rechte (Least Privilege) und physische Security-Keys verriegelt, überreicht die Schlüssel zu seinem digitalen Tresor freiwillig an das organisierte Verbrechen.

FAQ: Häufige Fragen zur Outlook-Sicherheit

Nach der Aufdeckung der AgreeTo-Kampagne herrscht Unsicherheit bei vielen Administratoren. Hier sind die wichtigsten Fakten zu diesem Vorfall.

Wie funktionierte der Outlook-Add-in-Hack genau?

Die Hacker kauften eine abgelaufene Web-Domain, die von einem veralteten, aber noch im Microsoft Store verfügbaren Plugin (AgreeTo) genutzt wurde. Dadurch konnten sie die Benutzeroberfläche des Plugins fernsteuern und den Nutzern eine gefälschte Microsoft-Login-Maske anzeigen.

Wurde Microsoft direkt gehackt?

Nein. Die Server von Microsoft blieben sicher. Die Schwachstelle lag in der mangelnden kontinuierlichen Überprüfung: Microsoft kontrolliert externe Domains, die von Plugins geladen werden, nach der initialen Freigabe im Marketplace offenbar nicht mehr proaktiv.

Wie wurden die Passwörter gestohlen?

Nutzer gaben ihre Zugangsdaten in die gefälschte Maske direkt innerhalb von Outlook ein. Diese Daten wurden dann im Hintergrund automatisiert über einen Telegram-Bot an die Angreifer übermittelt.

Weiterbildung für dein Team: Die perfidesten Angriffe zielen heute auf die menschliche Wahrnehmung ab. Wenn eine Login-Maske aussieht wie das Original, klicken deine Mitarbeiter darauf. Investiere in das Sicherheitsbewusstsein deines Teams. Ich empfehle als Grundlage die internationalen Bestseller zum Thema psychologische Manipulation, wie das Buch „Social Engineering: Enttarnt“ (direkt bei Amazon erhältlich).

Anzeige

Nr. 1
Social Engineering enttarnt: Sicherheitsrisiko Mensch (mitp Professional)
Social Engineering enttarnt: Sicherheitsrisiko Mensch (mitp Professional)*
von Christopher Hadnagy
 Preis: € 16,99 Jetzt auf Amazon kaufen* Preis inkl. MwSt., zzgl. Versandkosten
Zuletzt aktualisiert am 3. April 2026 um 20:03 . Wir weisen darauf hin, dass sich hier angezeigte Preise inzwischen geändert haben können. Alle Angaben ohne Gewähr.

Wie kann ich mich vor infizierten Plugins schützen?

Führe sofort ein Audit durch und deinstalliere alle Add-ins, die nicht zwingend für die tägliche Arbeit benötigt werden. Der beste technische Schutz gegen die gefälschten Anmeldemasken ist FIDO2-Hardware-Schlüssel, da diese immun gegen Phishing-Domains sind.

Andere Artikel:

Von Sergii Pastbin

Sergii Pastbin ist ein versierter SEO- und Content-Spezialist, dessen Beiträge monatlich über 400.000 Impressionen und mehr als 40.000 Klicks erzielen. Mit über 100 veröffentlichten Artikeln, die in den Suchergebnissen von Google, Bing, DuckDuckGo und Ecosia konstant unter den Top 5 rangieren, deckt er ein breites Themenspektrum ab – von E-Commerce und Suchmaschinenoptimierung bis hin zu Kulinarik und Pentesting. In seiner Freizeit findet man Sergii häufig auf Laufstrecken, bei Open-Water-Schwimmeinheiten oder vertieft in Fachmagazinen rund um SEO und IT-Sicherheit. Seine große Leidenschaft gilt außerdem dem Kochen, wo er gerne Neues ausprobiert und kreativ wird.