Kreeg je plots spam voor een Thais casino te zien in je SharePoint-omgeving? De boosdoener was een gekaapt domein van Microsoft.
Via verschillende Reddit-threads voor IT- en beveiligingsspecialisten kwamen melddingen binnen van spam in SharePoint. Sommige zakelijke gebruikers kregen spam voor Thaise casino’s te zien in hun Microsoft-omgeving, in de vorm van een zeer goed nagemaakte Amazon-pagina. De spam bleek afkomstig van een gekaapt Microsoft-domein voor Streams.
Microsoft Streams is een videostreamingdienst waarmee je video’s kan inbedden in Teams, Sharepoint en andere Office-applicaties. In 2024 werd de dienst verhuisd van een apart domein en ingebakken in SharePoint. Het klassieke domein microsoftstream.com bleef sindsdien wel actief.
Thais casino
De boosdoener, die enkel gekend is onder zijn alias Ibiza99, nam op 27 maart het Microsoft-domein over en verving de inhoud door een spampagina voor een Thais casino. Hoe dat precies gebeurde, is onduidelijk. SharePoint-servers met Streams-content die ingebed was via het legacy-domein, toonden bijgevolg de spampagina. Microsoft had bedrijven nochtans vorig jaar verzocht om naar het nieuwe, geïntegreerde platform over te stappen.
Microsoft heeft inmiddels het Streams-domein offline gehaald, waardoor de spampagina weer verdwenen is. Hoeveel bedrijven de spam te zien hebben gekregen in hun SharePoint-omgeving, is onduidelijk. “We zijn op de hoogte van deze meldingen en hebben passende maatregelen genomen om de toegang tot de getroffen domeinen verder te voorkomen”, bevestigt Microsoft zonder bijkomende uitleg aan Bleeping Computer.
Wat de intentie achter de campagne was, blijft gissen, maar gelukkig hebben de daders de Microsoft Stream-dienst niet misbruikt om SharePoint-omgevingen over te nemen. Microsoft heeft een waardevolle IT-les geleerd: gebruik je een domein niet meer, haal het dan offline.