KnowBe4 entdeckt komplexe Phishing Kampage

KnowBe4 Threat Labs hat eine komplexe Phishing-Kampagne entdeckt, die auf US-amerikanische Unternehmen und Fachkräfte abzielt. Die Angriffe kompromittieren Microsoft 365-Konten (Outlook, Teams, OneDrive), indem sie den OAuth 2.0-Geräteautorisierungsfluss missbrauchen und dadurch selbst starke Passwörter und Multi-Faktor-Authentifizierung (MFA) überlisten.

Das Opfer wird auf das legitime Microsoft-Portal „xxx//microsoft.com/deviceloginxxx“ weitergeleitet, um einen vom Angreifer bereitgestellten Gerätecode einzugeben. Durch die Eingabe des Codes wird das Opfer authentifiziert und ein gültiges OAuth-Zugriffstoken an die Anwendung des Angreifers ausgegeben. Mit diesem ergaunerten Token verschafft sich der Angreifer dauerhaften Zugriff auf die Microsoft 365-Konten und Unternehmensdaten des Opfers.

Die Kampagne zeichnet sich durch folgende Merkmale aus:

• Ausgeklügelter Angriffsmechanismus: Die Kampagne umgeht herkömmliche Sicherheitsmaßnahmen, da sie nicht auf dem Diebstahl von Anmeldedaten basiert. Stattdessen wird der Benutzer dazu verleitet, sich auf der legitimen Microsoft-Domäne zu authentifizieren, und anschließend wird der Token-Endpunkt abgefragt, um die OAuth-Zugriffs- und Aktualisierungstoken zu erfassen.
• Umgehung der MFA: Der Angriff ist hochwirksam, da der Token-Diebstahl erst erfolgt, nachdem der Benutzer die legitime MFA-Prüfung erfolgreich abgeschlossen hat.
• Spezifische Zielgruppe: Die Kampagne wurde erstmals im Dezember 2025 beobachtet und ist auch aktuell noch im Gange. Die Aktivitäten konzentrieren sich vor allem auf Nordamerika, wobei mehr als 44 Prozent der Opfer in den USA ansässig sind. Besonders betroffene sind Organisationen der Branchen Technologie, Fertigung und Finanzdienstleistungen.
• Bedrohung für Unternehmen: Die gestohlenen Tokens gewähren Angreifern umfassenden und dauerhaften Zugriff auf die Microsoft 365-Umgebung ihrer Opfer, einschließlich vollständiger Lese-, Schreib- und Sende-Berechtigungen für E-Mails, Kalender und Dateien (OneDrive, SharePoint) sowie Verwaltungsfunktionen.

Der fünfphasige Angriffsablauf

Die folgende Abbildung zeigt den gesamten Ablauf dieses Angriffs. Der Ablauf ist in fünf verschiedene Phasen unterteilt, von der anfänglichen Köderung bis zur endgültigen Token-Exfiltration.

1. Microsoft 365 OAuth-Gerätecode-Generierung und Köder: Der Angreifer registriert eine OAuth-Anwendung in Microsoft 365 und generiert einen eindeutigen Gerätecode. Der Gerätecode wird dann über eine gezielte Phishing-E-Mail an das Opfer gesendet.
2. Opfer fällt auf Köder herein: Das Opfer erhält die Phishing-E-Mail und klickt auf den in der Nachricht eingebetteten bösartigen Link.
3. Vom Angreifer kontrollierte Landing Page: Das Opfer wird auf eine gefälschte Seite weitergeleitet, wo es aufgefordert wird, eine E-Mail-Adresse einzugeben, und wo ihm der Gerätecode des Angreifers zusammen mit Anweisungen zum Abschluss der vermeintlich „sicheren Authentifizierung” angezeigt wird.
4. Authentifizierung auf dem legitimen Microsoft-Portal: Das Opfer navigiert zum echten Microsoft-Portal (https://microsoft.com/devicelogin), gibt den Gerätecode des Angreifers ein und authentifiziert sich erfolgreich mit legitimen Anmeldedaten und der MFA.
5. Token-Diebstahl und dauerhafter Zugriff: Die Microsoft Identity Platform stellt ein gültiges OAuth-Zugriffstoken aus, das der Angreifer sofort abfängt. Dadurch erhält der Angreifer dauerhaften Zugriff auf das Microsoft 365-Konto des Opfers.

Schutzmaßnahmen

Sicherheitsteams können eine Reihe von Schutzmaßnahmen durchführen, um ihre Systeme und Nutzer vor dieser Art von Angriffen zu schützen. Darunter fallen die folgenden sieben wie:

• Blockieren von IOCs: Alle bekannten bösartigen Domänen und URLs sollten zu den Blocklisten des E-Mail-Gateways und des Webproxys der Organisation hinzugefügt werden.
• Lokalisierung von Bedrohungen: E-Mail-Protokolle sollten nach dem Absendermuster mit den identifizierten Betreffbeispielen durchsucht werden.
• Prüfung von OAuth-Anwendungen: Im Microsoft 365 Admin Center sollten die Berechtigungen für verdächtige oder unbekannte OAuth-Anwendungen dringend überprüft und widerrufen werden.
• Überprüfen der Anmeldelogs: Azure AD-Anmeldelogbücher sollten auf Ereignisse zur Gerätecodeauthentifizierung überprüft werden, und es sollten Abfragen durchgeführt werden, um Anmeldungen von ungewöhnlichen geografischen Standorten zu identifizieren.
• Deaktivieren des Gerätecodeflusses: Der Angriffsvektor kann vollständig eliminiert werden, wenn Unternehmen die Verwendung des Gerätecodeflusses für gemeinsam genutzte oder öffentliche Geräte nicht erfordern. In diesem Fall kann folgender PowerShell-Befehl ausgeführt werden:  Update-MgPolicyAuthorizationPolicy -AllowedToUseDeviceCodeFlow $false
• Bedingter Zugriff: Es sollten Richtlinien für bedingten Zugriff eingesetzt werden, um streng zu regeln, wer den Gerätecodefluss wann und wo verwenden darf.
• App-Zustimmung prüfen: Microsoft Defender für Cloud-Apps sollte eingesetzt werden, um die OAuth-App-Zustimmung zu überwachen und zu steuern.

Fazit

Angesichts sich rasch entwickelnder Taktiken wie dieser OAuth-Token-Diebstahlkampagne reicht ein passiver Sicherheitsansatz für Sicherheitsteams nicht mehr aus. Die Tatsache, dass Angreifer legitime Domains nutzen und MFA umgehen können, zeigt, dass herkömmliche Perimeter-Abwehrmaßnahmen und einfache Anmeldedatenprüfungen nicht ausreichen. Um diesen komplexen Bedrohungen entgegenzuwirken, müssen sich Unternehmen anpassen. Es müssen die erforderlichen Rahmenbedingungen geschaffen werden, um über den herkömmlichen Silo-Ansatz hinauszugehen und sich stattdessen auf Echtzeit-Bedrohungsinformationen und das Bewusstsein der Benutzer zu konzentrieren.