Microsoft OAuth-LĂŒcke: Hacker kapern Konten trotz MFA-Schutz
Veröffentlicht: 12.06.2026 um 19:55 Uhr, Redaktion boerse-global.de
Selbst wer sein Passwort Àndert, ist nicht sicher.
Sicherheitsforscher schlagen Alarm: Eine neue Generation von Phishing-Kampagnen setzt auf eine raffinierte Methode, um den Zwei-Faktor-Schutz (MFA) von Microsoft-365-Konten auszuhebeln. Die Angreifer nutzen dabei den sogenannten OAuth-2.0-GerĂ€teautorisierungs-Fluss â ein Feature, das Microsoft eigentlich fĂŒr GerĂ€te ohne Tastatur wie Smart-TVs oder Drucker entwickelt hat.
Phishing-Angriffe werden immer raffinierter und hebelt mittlerweile sogar klassische Sicherheitsvorkehrungen wie die Zwei-Faktor-Authentisierung aus. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie die psychologischen Tricks der Hacker entlarven und Ihr Unternehmen in vier Schritten effektiv schĂŒtzen. Kostenlosen Leitfaden zur Hacker-Abwehr jetzt herunterladen
Wie die Angreifer vorgehen
Die Opfer erhalten geschĂ€ftlich getarnte E-Mails mit HTML-AnhĂ€ngen oder Links. Diese fĂŒhren auf die offizielle Microsoft-Anmeldeseite (aka.ms/devicelogin). Dort geben die Nutzer einen Code ein, der zuvor vom Angreifer generiert wurde. Das vermeintlich harmlose âAnmelden" gewĂ€hrt dem Hacker jedoch vollen Zugriff auf das Konto â ohne dass ein Passwort gestohlen werden muss.
Das TĂŒckische: Selbst wer spĂ€ter sein Passwort Ă€ndert oder die MFA-Einstellungen aktualisiert, bleibt verwundbar. Die Autorisierung des fremden GerĂ€ts bleibt bestehen. ReversingLabs beobachtete aktive Kampagnen noch am 12. Juni 2026. Die Angriffs-Kits senden dabei alle vier Sekunden einen neuen GerĂ€tecode an den Phishing-Host, um die Verbindung aufrechtzuerhalten.
Phishing-as-a-Service: Ein MilliardengeschÀft
Die Angriffsmethode hat sich professionalisiert. Sicherheitsforscher von Push Security verzeichnen einen Anstieg um das 37,5-Fache bei Phishing-Seiten fĂŒr GerĂ€te-Codes innerhalb des letzten Jahres. Im Umlauf sind inzwischen mehrere kommerzielle Kits wie EvilTokens, Ghost Hub, Cyb3r, Tycoon2FA und das Kali365-Ăkosystem.
Besonders Kali365 macht von sich reden. Huntress entdeckte das Kit im April 2026. Die AktivitĂ€t nahm Mitte Mai massiv zu â mit Anmeldeversuchen von Tencent-Cloud-IP-Adressen ab dem 18. Mai. Der Höhepunkt folgte am 20. Mai 2026, als ĂŒber 80 erfolgreiche Logins registriert wurden. Die Plattform ist hochindustrialisiert: ĂŒber 100 API-Schnittstellen, ein eigener Domain-Marktplatz und rollenbasierte Zugriffskontrollen fĂŒr Abonnenten.
Da herkömmliche Passwörter und einfache MFA-Verfahren zunehmend zum Sicherheitsrisiko werden, setzen Experten verstÀrkt auf modernere Technologien. Dieser kostenlose Report zeigt Ihnen, wie Sie mit Passkeys eine sicherere, passwortlose Alternative bei Microsoft und anderen Diensten einrichten, um Hackern keine Chance mehr zu lassen. Gratis-Report: Sicher und passwortlos mit Passkeys
KI macht Phishing noch gefÀhrlicher
Moderne Kits setzen auf ausgefeilte Tarnung. ReversingLabs entdeckte unsichtbare Unicode-Zeichen in den Köder-Mails sowie manipulierte Entra-ID-Token (EvoStsArtifacts), die bösartige Absichten verschleiern sollen.
Kaspersky identifizierte zudem eine Kampagne, die die Tencent-EdgeOne-Pages-Plattform missbrauchte. Innerhalb von 30 Tagen bis Anfang Juni verschickten die Angreifer ĂŒber 8.000 Phishing-Mails, die auf Firmenzugangsdaten zielten. Einige Kits wie Kali365 bewerben inzwischen KI-gestĂŒtzte Funktionen fĂŒr Business-E-Mail-Kompromittierung (BEC). Die kĂŒnstliche Intelligenz hilft dabei, ĂŒberzeugendere Nachrichten zu verfassen und automatisiert mit Opfern zu interagieren.
Was Unternehmen jetzt tun mĂŒssen
Das FBI und zahlreiche Sicherheitsforscher warnen: Herkömmliche MFA ist kein Allheilmittel mehr gegen diese Form des Token-Diebstahls. Experten empfehlen daher drastische MaĂnahmen:
- Device Code Flow blockieren, wenn die Funktion nicht zwingend benötigt wird
- Conditional-Access-Richtlinien einfĂŒhren, um die Nutzung einzuschrĂ€nken
- FIDO2-Hardware-SicherheitsschlĂŒssel einsetzen
- Token-Lebensdauer verkĂŒrzen
- Automatisierte Verhaltensanalyse nutzen, um ungewöhnliche Anmelde-Muster zu erkennen
Die Bedrohungslage zeigt: Was als Komfort-Funktion gedacht war, ist zum Einfallstor geworden. Unternehmen sollten ihre Sicherheitsstrategie dringend ĂŒberdenken.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Ănderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.
