Microsoft-365-OAuth-Phishingangriffe nehmen zu, da Bedrohungsakteure Unternehmensnutzer über legitime Authentifizierungsabläufe ins Visier nehmen. Anstatt Passwörter zu stehlen, bringen Angreifer Nutzer inzwischen dazu, selbst Zugriff zu gewähren, indem sie die OAuth-Gerätecode-Authentifizierung missbrauchen.
Diese Kampagnen setzen auf Social Engineering statt auf technische Exploits. Die Opfer werden auf offizielle Microsoft-Anmeldeseiten geleitet, was Misstrauen reduziert und die Erfolgsquote erhöht. Sobald der Zugriff gewährt ist, können Angreifer Konten kontrollieren, ohne Passwörter oder MFA-Codes zu benötigen.
Sicherheitsforscher warnen, dass sich diese Methode schnell in Unternehmensumgebungen verbreitet.
Wie OAuth-Phishing mit Gerätecodes funktioniert
OAuth-Phishing mit Gerätecodes missbraucht eine legitime Microsoft-Authentifizierungsmethode, die für Geräte ohne Browser entwickelt wurde. Angreifer versenden Phishing-E-Mails, die Nutzer dazu auffordern, eine Microsoft-Anmeldeseite zu besuchen und einen kurzen Autorisierungscode einzugeben.
Geben Nutzer den Code ein, genehmigen sie unwissentlich den Zugriff für eine vom Angreifer kontrollierte Anwendung. Microsoft stellt daraufhin OAuth-Token aus, die es Angreifern ermöglichen, mit dem Konto des Opfers zu interagieren.
Da der Prozess echte Microsoft-Domains nutzt, halten viele Nutzer die Anfrage für sicher. Dieses Vertrauen macht die Technik besonders effektiv.
Warum diese Angriffe traditionelle Schutzmechanismen umgehen
Microsoft-365-OAuth-Phishingangriffe sind erfolgreich, weil sie keinen klassischen Diebstahl von Zugangsdaten erfordern. Passwörter bleiben unangetastet, und MFA wird nicht im herkömmlichen Sinne umgangen.
Stattdessen genehmigen Nutzer den Zugriff freiwillig während des Authentifizierungsprozesses. Nach der Freigabe können Angreifer mit gültigen Token auf E-Mails, Dateien und Cloud-Dienste zugreifen.
Viele Sicherheitskontrollen konzentrieren sich auf ungewöhnliche Anmeldeereignisse und nicht auf den Missbrauch von Token. Diese Lücke ermöglicht es Angreifern, nach dem ersten Zugriff unauffällig zu agieren.
Wer ins Visier genommen wird
Bedrohungsakteure konzentrieren sich vor allem auf Unternehmensnutzer, insbesondere auf Personen mit Zugriff auf sensible Daten oder interne Kollaborationstools. Finanzabteilungen, Führungskräfte und IT-Mitarbeiter zählen zu den häufigsten Zielen.
Angreifer tarnen Phishing-Nachrichten häufig als Dokumentfreigaben, Voicemail-Benachrichtigungen oder Sicherheitsmeldungen. Diese Köder erzeugen Zeitdruck und drängen Nutzer dazu, den Gerätecode-Prozess schnell abzuschließen.
Sowohl finanziell motivierte Gruppen als auch staatlich unterstützte Akteure haben diese Technik übernommen.
Risiken nach Erlangung des Kontozugriffs
Sobald Angreifer OAuth-Zugriff erhalten, können sie E-Mails lesen, Dateien herunterladen und Kommunikation überwachen. In einigen Fällen richten sie Posteingangsregeln ein, um Warnmeldungen zu verbergen oder einen dauerhaften Zugriff aufrechtzuerhalten.
Angreifer können kompromittierte Konten auch nutzen, um interne Phishing-Kampagnen zu starten. Diese laterale Bewegung erhöht Reichweite und Glaubwürdigkeit nachfolgender Angriffe.
OAuth-Zugriff bleibt so lange aktiv, bis er manuell widerrufen wird, was eine langfristige Exponierung ermöglicht.
Wie Organisationen das Risiko reduzieren können
Organisationen sollten die OAuth-Anwendungsberechtigungen in ihren Microsoft-365-Umgebungen überprüfen. Unnötige oder unbekannte App-Genehmigungen sollten umgehend entfernt werden.
Die Einschränkung der Gerätecode-Authentifizierung für Hochrisiko-Nutzer kann die Exponierung deutlich verringern. Sicherheitsteams sollten zudem die Ausgabe von Token überwachen und auf ungewöhnliche Autorisierungsmuster achten.
Benutzerschulungen bleiben entscheidend. Mitarbeiter müssen verstehen, dass das Eingeben von Gerätecodes oder das Genehmigen von Apps über unerwartete Nachrichten riskant ist.
Fazit
Microsoft-365-OAuth-Phishingangriffe zeigen, wie Angreifer sich an stärkere Sicherheitskontrollen anpassen, indem sie vertrauenswürdige Arbeitsabläufe ausnutzen. Durch den Missbrauch legitimer Authentifizierungsmethoden erhalten Bedrohungsakteure Zugriff, ohne klassische Warnmechanismen auszulösen.
Organisationen, die OAuth-Exponierung begrenzen, Token-Aktivitäten überwachen und Nutzer schulen, können die Wirksamkeit dieser Angriffe deutlich reduzieren. Wird das Risiko ignoriert, können Angreifer unbemerkt in Cloud-Umgebungen agieren.
0 Kommentare zu „Microsoft-365-OAuth-Phishingangriffe zielen auf Unternehmenskonten ab“