Microsoft, OAuth-LĂŒcke

Microsoft OAuth-LĂŒcke: Hacker kapern Konten trotz MFA-Schutz

Veröffentlicht: 12.06.2026 um 19:55 Uhr, Redaktion boerse-global.de

Kriminelle nutzen den OAuth-GerÀtecode-Fluss, um Microsoft-365-Konten zu kapern. Selbst nach PasswortÀnderung bleibt der Zugriff bestehen.

Microsoft-365-Konten: Neue Phishing-Welle umgeht MFA-Schutz
A glowing green data stream flows from a laptop to a padlock icon in a dimly lit server room, symbolizing a security breach. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Selbst wer sein Passwort Àndert, ist nicht sicher.

Sicherheitsforscher schlagen Alarm: Eine neue Generation von Phishing-Kampagnen setzt auf eine raffinierte Methode, um den Zwei-Faktor-Schutz (MFA) von Microsoft-365-Konten auszuhebeln. Die Angreifer nutzen dabei den sogenannten OAuth-2.0-GerĂ€teautorisierungs-Fluss – ein Feature, das Microsoft eigentlich fĂŒr GerĂ€te ohne Tastatur wie Smart-TVs oder Drucker entwickelt hat.

Anzeige

Phishing-Angriffe werden immer raffinierter und hebelt mittlerweile sogar klassische Sicherheitsvorkehrungen wie die Zwei-Faktor-Authentisierung aus. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie die psychologischen Tricks der Hacker entlarven und Ihr Unternehmen in vier Schritten effektiv schĂŒtzen. Kostenlosen Leitfaden zur Hacker-Abwehr jetzt herunterladen

Wie die Angreifer vorgehen

Die Opfer erhalten geschĂ€ftlich getarnte E-Mails mit HTML-AnhĂ€ngen oder Links. Diese fĂŒhren auf die offizielle Microsoft-Anmeldeseite (aka.ms/devicelogin). Dort geben die Nutzer einen Code ein, der zuvor vom Angreifer generiert wurde. Das vermeintlich harmlose „Anmelden" gewĂ€hrt dem Hacker jedoch vollen Zugriff auf das Konto – ohne dass ein Passwort gestohlen werden muss.

Das TĂŒckische: Selbst wer spĂ€ter sein Passwort Ă€ndert oder die MFA-Einstellungen aktualisiert, bleibt verwundbar. Die Autorisierung des fremden GerĂ€ts bleibt bestehen. ReversingLabs beobachtete aktive Kampagnen noch am 12. Juni 2026. Die Angriffs-Kits senden dabei alle vier Sekunden einen neuen GerĂ€tecode an den Phishing-Host, um die Verbindung aufrechtzuerhalten.

Phishing-as-a-Service: Ein MilliardengeschÀft

Die Angriffsmethode hat sich professionalisiert. Sicherheitsforscher von Push Security verzeichnen einen Anstieg um das 37,5-Fache bei Phishing-Seiten fĂŒr GerĂ€te-Codes innerhalb des letzten Jahres. Im Umlauf sind inzwischen mehrere kommerzielle Kits wie EvilTokens, Ghost Hub, Cyb3r, Tycoon2FA und das Kali365-Ökosystem.

Besonders Kali365 macht von sich reden. Huntress entdeckte das Kit im April 2026. Die AktivitĂ€t nahm Mitte Mai massiv zu – mit Anmeldeversuchen von Tencent-Cloud-IP-Adressen ab dem 18. Mai. Der Höhepunkt folgte am 20. Mai 2026, als ĂŒber 80 erfolgreiche Logins registriert wurden. Die Plattform ist hochindustrialisiert: ĂŒber 100 API-Schnittstellen, ein eigener Domain-Marktplatz und rollenbasierte Zugriffskontrollen fĂŒr Abonnenten.

Anzeige

Da herkömmliche Passwörter und einfache MFA-Verfahren zunehmend zum Sicherheitsrisiko werden, setzen Experten verstÀrkt auf modernere Technologien. Dieser kostenlose Report zeigt Ihnen, wie Sie mit Passkeys eine sicherere, passwortlose Alternative bei Microsoft und anderen Diensten einrichten, um Hackern keine Chance mehr zu lassen. Gratis-Report: Sicher und passwortlos mit Passkeys

KI macht Phishing noch gefÀhrlicher

Moderne Kits setzen auf ausgefeilte Tarnung. ReversingLabs entdeckte unsichtbare Unicode-Zeichen in den Köder-Mails sowie manipulierte Entra-ID-Token (EvoStsArtifacts), die bösartige Absichten verschleiern sollen.

Kaspersky identifizierte zudem eine Kampagne, die die Tencent-EdgeOne-Pages-Plattform missbrauchte. Innerhalb von 30 Tagen bis Anfang Juni verschickten die Angreifer ĂŒber 8.000 Phishing-Mails, die auf Firmenzugangsdaten zielten. Einige Kits wie Kali365 bewerben inzwischen KI-gestĂŒtzte Funktionen fĂŒr Business-E-Mail-Kompromittierung (BEC). Die kĂŒnstliche Intelligenz hilft dabei, ĂŒberzeugendere Nachrichten zu verfassen und automatisiert mit Opfern zu interagieren.

Was Unternehmen jetzt tun mĂŒssen

Das FBI und zahlreiche Sicherheitsforscher warnen: Herkömmliche MFA ist kein Allheilmittel mehr gegen diese Form des Token-Diebstahls. Experten empfehlen daher drastische Maßnahmen:

  • Device Code Flow blockieren, wenn die Funktion nicht zwingend benötigt wird
  • Conditional-Access-Richtlinien einfĂŒhren, um die Nutzung einzuschrĂ€nken
  • FIDO2-Hardware-SicherheitsschlĂŒssel einsetzen
  • Token-Lebensdauer verkĂŒrzen
  • Automatisierte Verhaltensanalyse nutzen, um ungewöhnliche Anmelde-Muster zu erkennen

Die Bedrohungslage zeigt: Was als Komfort-Funktion gedacht war, ist zum Einfallstor geworden. Unternehmen sollten ihre Sicherheitsstrategie dringend ĂŒberdenken.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wissenschaft | 69529525 |