[English]Mal wieder eine etwas merkwürdige Beobachtung aus der Leserschaft. Mir liegt ein Bericht vor, dass Microsoft Office seit kurzem versucht, Zugriffe auf die Domain aprimocdn.net zu verhindern. Es scheint ein Sicherheitsproblem zu sein, wie man einem Dialogfeld entnehmen kann.
Anzeige
Ein Leserhinweis auf aprimocdn.net
Ein Blog-Leser hat sich per E-Mail gemeldet, weil er auf eine sehr merkwürdige Geschichte gestoßen ist. Er schrieb mir, dass er seit dem 10. Februar 2025 mit einem merkwürdigen Phänomen konfrontiert sei, für welches er keinen Erklärung hat. Seit dem 10. Februar 2025 bekommen diverse Office-Anwender in seinem Umfeld folgende Meldung per Dialogfeld angezeigt:
Die Meldung wird wohl von Microsoft Office ausgelöst. Es heißt, dass der Zugriff auf die Subdomain p1.aprimocdn.net und einen Ordner blockiert wurde, weil der Netzwerk-Proxy eine möglicherweise unsichere Anmeldemethode verwendet.
Dieses Dialogfeld lässt sich reproduzieren, indem der Nutzer entweder in einem Office-Programm auf Speichern unter… geht oder in die Konto-Einstellungen hinein geht.
Anzeige
Dem betroffenen Nutzer wird empfohlen, den eigenen IT-Support zu kontaktieren. Nun ja, der Blog-Leser gehört wohl zur IT des betroffenen Unternehmens.
Zugriffe in Proxy gesperrt
Vom Leser habe ich noch den Hinweis, dass in der IT eine sehr restriktive Proxy-Policy gefahren werde. Die oben genannte URL/Domain aprimocdn.net taucht dort im Proxy-Log auf, die Zugriffe auf die Domain sind aber nicht erlaubt.
Der Leser schreibt, dass der dortigen IT aber völlig unklar sei, wo diese URL herkommt und wofür Office diese URL bräuchte. In der Liste der Microsoft-Endpunkte kann er die betreffende Domain nicht finden.
Wem gehört die Domain aprimocdn.net?
Schaue ich auf WhoIs nach, sehe ich, dass die DNS-Einträge auf diverse Azure Name-Server verweisen.
Der Eigentümer der Domain ist eine Aprimo US LLC in Indianapolis in den USA. Aprimo ist laut Wikipedia ein in den USA ansässiges Unternehmen, das Marketing-Automatisierungssoftware und Digital-Asset-Management-Technologie für Marketing- und Customer-Experience-Abteilungen in Unternehmensorganisationen entwickelt und vertreibt.
Nutzt Microsoft Aprimo?
Gehe ich im Internet auf die Suche gibt es eine Microsoft-Seite zu Apps, in denen ein "Aprimo Productivity Management" aufgelistet wird. Aprimo Productivity Management soll die Zusammenarbeit im Marketing vereinfachen und automatisieren. Und es gibt von Aprimo einen Microsoft Office Connector for Aprimo Digital Asset Management.
Auf dieser Webseite erfährt man noch, dass Aprimo und Microsoft seit 20 Jahren eine Partnerschaft pflegen. Aprimo will diese Partnerschaft durch die Nutzung von OpenAI und
Beitritt zum Microsoft Azure Marketplace weiter ausbauen. So richtig schlau werde ich da aber nicht draus.
Daher stelle ich die Frage an die Blog-Leserschaft, ob jemand ähnliche Meldungen erhält oder Zugriffsversuche auf die oben genannte Domain in den Logs findet. Und natürlich schiebe ich die Frage nach, ob jemand eine Erklärung für die Zugriffe auf die Aprimo-Domain hat?
Ergänzende Hinweise
An dieser Stelle mein Dank für die zahlreichen Kommentare. Der Leser hat sich im Nachgang nochmals gemeldet und stellt folgendes klar:
- Es ist kein Outlook-spezifisches Phänomen und hat nichts mit Emails zu tun, das taucht in Word, OneNote, usw. auf.
- Es sind keine weiteren Office-AddIns aktiv, der Leser schreibt, dass die Meldung aus seiner Sicht direkt aus den M365-Programmen angezeigt wird.
- Das Dialogfeld taucht z.B. auf wenn man bei einem neuen, leeren Dokument auf Speichern unter… klickt (möglicherweise werden dann Cloud-Pfade angesprochen).
- Oder wenn man z.B. in einem Office-Programm auf Konto klickt (auch hier könnten Cloud-Pfade aufgerufen werden?).
Das Phänomen taucht laut den Proxy-Logs seit dem 08.02.2025 auf (in keinem anderen vorherigen Proxy-Log konnte die Domain gefunden werden). Es scheint nicht bei jedem Benutzer/Gerät aufzutreten, der Leser kann die Meldung bzw. Zugriffe auf manchen Geräte nachstellen, auf anderen nicht. Auf Terminalservern mit Microsoft Office 2019 tritt die Fehlermeldung ebenfalls nicht auf.
Ergänzungen des Lesers
Der Blog-Leser hat mir im Nachgang noch weitere Informationen zukommen lassen. Er schrieb "ich habe gesehen, dass in Deinem Blog der "Tech Detective" das Phänomen erklären konnte. Wir sind mittlerweile auch soweit gekommen, dass wir die entsprechenden Reg-Keys gefunden haben." Der Leser hat mir dann folgende Screenshots zukommen lassen – das letzte Foto zeigt auch einen Beispiel-Dialog.
Der Leser schloss seine Mail mit den Worten: "Verwunderlich ist, wie solche Funktionen mittlerweile in Office reinkommen. Wir betreiben den halbjährlichen Enterprise-Kanal, da haben aus meiner Sicht Previews und Betas nix verloren. Auch die Dokumentation bei Microsoft ist da mittlerweile mehr als grottenschlecht, wenn nicht mal die benutzten Endpunkte stimmen."
Anzeige
Evtl. dient das dazu, Werbung in Office einzublenden.
Irgendwoher muß die ja kommen.
Seltsam finde ich, dass die Meldung "aus heiterem Himmel" kommt. Für mich sieht das so aus, als als wäre die Meldung durch eine Benutzeraktion entstanden. Also ein Klick auf irgendwas (Datei, Link, Button etc.).
Warum denke ich dass: netdocuments ist – wie der Name schon sagt – eine Dokumentenablage (DMS) im Netz. Also wie DocuWare oder ganz, ganz grob wie SharePoint. Das ganze läuft über das Content Delivery Netzwerk von aprimo (aprimocdn), damit die Dateien auch überall auf der Welt gut erreichbar sind.
Auf dieser netdocumens-Webseite, die die Zusammenarbeit mit DocuSign (nicht mit DocuWare verwechseln) bewirbt, finden sich unten drei Links zu PDF-Dateien. Ein Link hat folgende URL: https://p1.aprimocdn.net/netdocuments/98aa3062-51cd-469a-ae93-affc00f13546/originalfile/netdocuments-solutions-brochure-noram.pdf.
Der Aufbau ist also komplett analog zu dem was in der Fehlermeldung gezeigt wird.
Sollte das also tatsächlich ohne Benutzeraktion erscheinen, versucht irgendein Programm etwas von dort nachzuladen. Vielleicht ein harmloses Programm, vielleicht auch ein böses.
NSLookUp löst nicht auf, aber da es eine "Sternchen"-Domain ist, wird jede Sub-Domain gemappt auf :
u.aprimocdn.net canonical name = j.sni.global.fastly.net
Address: 146.75.118.132
cdns haben, je aus welcher Ecke im Internet man drauf schaut, mitunter andere IP-Adressen, eben der nächste Server mit dem Inhalt vom Benutzer aus gesehen. Also so ähnlich wie ein Distributed Filesystem (DFS) in Windows-Netzen.
Werbe Trojaner? Wäre nicht das erste mal das versucht wird über Werbung was einzuschleusen…
Ich sehe unseren Proxy aprimocdn.net auch blockieren. Und zwar deswegen weil irgend etwas auf den Tier-2-Systemen (PCs, Terminalserver) versucht, ohne Benutzerauthentifizierung (unauthorized user) auf diese Domain zuzugreifen. Demnach sind 99.8% dieser Zugriffe sind blockiert, 0,2% sind durchgegangen, weil ein AD-Benutzeraccount sich dafür am Proxy authentifiziert hat.
Wenn sich rausstellt, dass das tatsächlich unnötiger Werbequatsch in O365 ist, würde ich das auf dem Proxy komplett sperren lassen.
Aprimo ist eine Software zur Verwaltung von Marketingdateien, und der betreffende Link ist einfach eine Datei, die jemand in dem Unternehmen, das diese Software verwendet (wahrscheinlich NetDocuments), auf das CDN von Aprimo (Fastly.com) hochgeladen hat, damit sie öffentlich verfügbar ist (vergleichbar mit einem öffentlichen OneDrive-Link).
Warum er in Outlook auftaucht? Vermutlich hat jemand diesen Link mit der betreffenden Person geteilt oder sie haben ein Plugin installiert, das solche Marketingdateien in E-Mails einbettet, zum Beispiel: https://appsource.microsoft.com/en-us/product/office/wa200002563?tab=overview.
Diese Links sind nicht schädlich und auch keine Werbung (obwohl sie dazu genutzt werden könnten, Werbung zu hosten, wenn jemand entsprechende Inhalte auf das CDN hochlädt).
Es wäre interessant zu sehen, worauf der Benutzer klickt / was er öffnet und welche Plugins installiert sind…
NetDocuments hat auch ein Outlook-Plugin, daher könnte es auch dieses sein, das den Link lädt: https://appsource.microsoft.com/en-us/product/office/wa200006806?tab=overview
Wahrscheinlich ein Marketingpixel in E-Mails mit dem man auswerten kann wie viele Leute eine Mail geöffnet haben und auf welchen Medium (PC/Mobil).
Standard bei der Messung von Marketingwerbung per E-Mail.
Irgendwo hin muss dieser Marketingpixel sein Rückmeldung ja senden.
Und das meine Damen und Herren ist der Grund, warum Windows und Office Installationen offline zu halten sind. In verwalteten Terminalserver-Umgebung sehr einfach herzustellen. Lediglich das eigene Mail-Gateway ist für Outlook via ActiveSync erreichbar sowie der eigene Proxy im Firefox Webbrowser, alles bequem mit GPOs steuerbar.
Und du verhinderst dadurch wie die Meldung? Wenn dir jemand ein Link in dein tolles Offline-Outlook sendet oder ein notwendiges Plug-In auf deinem Offline-Terminalserver versucht die Adresse aufzurufen, bringt dir dein Proxy-Server auch herzlich wenig, außer dass er den Zugriff ggf. korrekterweise unterbindet.
Und wenn man es gleich ganz richtig machen möchte, dann bitte mit Netztrennung, IDS, IPS und Application Monitoring auf einer NextGen Firewall.
Die gegenständliche Fehlermneldung kommt, weil der Proxy des Betroffenen mit einem Status Code antwortet mit dem das Office nichts anfangen kann oder einen Basic Auth verlangt. Die Fehlermeldung würde gar nicht erst kommen, wenn das Office bzw. Windows meint offline zu sein und gar kein Proxy erst hinterlegt wäre.
Es ist sicherer und stabiler einen Proxy einem Windows (und Office) gar nicht erst mitzuteilen und es offline zu halten, als ständig Traffic und volle Logs auf Proxyseite zu produzieren. Schaut eh keiner nach, ist in 99% der Fälle eh ein "Nach-Hause-Telefonieren" Schmus.
Auf Dein Gish-Galopping und Ablenken auf IDS, IPS Monitoring etc. gehe ich nicht weiter ein. Ist selbstverständlich und offtopic.
Wie bitte halte ich eine Office-Installation offline (wenn "offline" wirklich komplett OFFLINE bedeutet) wenn Outlook eingesetzt wird? Und welchen Sinn soll das bitte machen?
Dir ist aber schon schon klar, wie Email funktioniert?
Wie gesagt, ein Outlook bekommt im Router/ Firewall nur Zugriff zum internen Mailgateway und/oder eigenen Mailserver via ActiveSync.
Warum? Vielleicht hilft es Dir, Dich eingehend mit Ransomware oder Phishing zu beschäftigen. Wie dieses funktionier und wie eine Payload auf ein System gelangt.
Ich finde zu aprimocdn.net keine IP, dig wirft eine Azure-domain aus, nslookup findet nichts
dig a aprimocdn.net
; <> DiG 9.18.30-0ubuntu0.22.04.2-Ubuntu <> a aprimocdn.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10421
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;aprimocdn.net. IN A
;; AUTHORITY SECTION:
aprimocdn.net. 85 IN SOA ns1-05.azure-dns.com. azuredns-hostmaster.microsoft.com. 1 3600 300 2419200 300
;; Query time: 2 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Tue Feb 11 21:10:46 CET 2025
;; MSG SIZE rcvd: 128
ping aprimocdn.net
ping: aprimocdn.net: Zu diesem Hostnamen gehört keine Adresse
nslookup aprimocdn.net
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
*** Can't find aprimocdn.net: No answer
Grüße von einem Freund aus der Ferne. Ich spreche kein Deutsch, daher wird dies maschinell übersetzt. Ich hoffe, es ist verständlich.
Ich glaube, wir haben dieses Rätsel gelöst.
Microsoft Office enthält eine Reihe integrierter Konnektoren, mit denen Sie Dateien in Cloud-Diensten speichern können, sowohl von Microsoft (OneDrive, SharePoint) als auch von anderen Anbietern (Box, DropBox usw.).
Einer dieser Drittanbieterdienste ist NetDocuments, ein Content-Management-System für Anwälte. Microsoft muss kürzlich einen Konnektor in der „Vorschau" oder „Beta" für diesen Dienst veröffentlicht oder aktualisiert haben.
In der Benutzeroberfläche für Office hat jeder dieser Konnektoren ein Symbol. Diese Symbole werden aus dem Internet heruntergeladen. Die Symbole für alle Konnektoren – mit Ausnahme von NetDocuments – stammen von einem Microsoft-Server auf odc.officeapps.live.com. Die Symbole für NetDocuments werden in diesem Aprimo-Content-Distribution-Netzwerk (aprimocdn) gespeichert.
Wenn Ihre Organisation einen Authentifizierungsproxy verwendet, der Verbindungen zu Microsoft-Servern durchlässt, aber eine Authentifizierung für aprimocdn.net erfordert, wird dieser Fehler angezeigt.
Sie können dies beispielsweise in der Registrierung unter folgender Adresse sehen:
HKCU\Microsoft\Office\16.0\Common\ServicesManagerCache\ServicesCatalog\TP_NETDOCUMENTS_PLUS\Thumbnails
Dies kann einfach ein Versehen von Microsoft sein oder daran liegen, dass sich der NetDocuments-Connector in der „Vorschau" befindet. Jedenfalls scheint es nicht bösartig zu sein. Proxy-Administratoren möchten möglicherweise den Zugriff auf diese Site ohne Authentifizierung zulassen, um diesen Fehler zu unterdrücken, bis Microsoft das Problem behebt.
Thanks for your explanation, it sounds reasonable.