Thought Leadership
Sicherheitsforscher von Proofpoint warnen vor einer deutlichen Zunahme von Phishing-Kampagnen, die den legitimen Geräteautorisierungsprozess von Microsoft ausnutzen. Seit September 2025 beobachten die Experten großflächige Angriffe zur Kontoübernahme.
Cyberkriminelle setzen verstärkt auf eine Phishing-Methode, die den offiziellen Microsoft-Gerätecode-Autorisierungsprozess missbraucht. Anders als bei klassischen Phishing-Angriffen nutzen die Täter dabei legitime Microsoft-Infrastruktur und umgehen so viele Sicherheitsmechanismen. Die Methode ist nicht neu, doch die Häufigkeit der Angriffe hat sich seit September dramatisch erhöht.
So funktioniert der Angriff
Die Angriffskette beginnt typischerweise mit einer E-Mail, die eine URL als Button, Hyperlink oder QR-Code enthält. Klickt das Opfer darauf, startet eine Sequenz, die den legitimen Microsoft-Geräteautorisierungsprozess imitiert. Der Nutzer erhält einen Gerätecode, entweder direkt auf der Zielseite oder per separater E-Mail. Die Angreifer geben vor, es handle sich um ein Einmalpasswort (OTP) und fordern zur Eingabe auf der echten Microsoft-Verifizierungsseite auf.
Gibt der Nutzer den Code ein, wird das ursprüngliche Token validiert und der Angreifer erhält Zugriff auf das Microsoft 365-Konto. Die Täuschung funktioniert, weil die Opfer tatsächlich mit echten Microsoft-Diensten interagieren und dadurch keine offensichtlichen Warnzeichen erkennen.
Red-Team-Tools werden zu Angriffswaffen
Proofpoint identifizierte mehrere Werkzeuge, die diese Angriffe vereinfachen. Besonders hervorzuheben sind SquarePhish2 und Graphish. Beide sind ursprünglich als Red-Team-Tools konzipierte Software.
SquarePhish2, eine Weiterentwicklung des 2022 von Dell Secureworks veröffentlichten SquarePhish, automatisiert den Angriff weitgehend. Das Tool nutzt QR-Codes und den OAuth-Geräteautorisierungsprozess. Ein auf GitHub frei verfügbares Update von 2024 macht die Software noch benutzerfreundlicher. Angreifer benötigen keine tiefgreifenden technischen Kenntnisse mehr. Die intuitive Konfiguration senkt die Einstiegshürde erheblich.
Graphish wurde in Hacking-Foren kostenlos verbreitet und bietet eine breite Funktionspalette. Das Kit erstellt täuschend echte Phishing-Seiten durch Azure-App-Registrierungen und Reverse-Proxy-Konfigurationen für Adversary-in-the-Middle-Angriffe (AiTM). Selbst Multi-Faktor-Authentifizierung schützt nicht, wenn Angreifer die Session-Tokens in Echtzeit abfangen.
Mehrere Bedrohungsakteure aktiv
Die Sicherheitsforscher beobachten verschiedene Angriffscluster, die diese Technik einsetzen, darunter der als TA2723 bekannte Bedrohungsakteur. Die Verfügbarkeit fertiger Tools in Untergrund-Foren beschleunigt die Verbreitung. Proofpoint entdeckte zudem eine kommerzielle Malware-Anwendung, die speziell für solche Kampagnen entwickelt wurde.
Die Tools helfen Angreifern, die natürliche Kurzlebigkeit von Gerätecodes zu überwinden und ermöglichen damit großangelegte Kampagnen, die früher technisch kaum durchführbar waren.
Empfehlungen für Unternehmen
Organisationen sollten ihre Mitarbeiter für diese neue Angriffsform sensibilisieren. Besondere Vorsicht ist geboten bei:
- E-Mails mit QR-Codes oder Links zu angeblichen Sicherheitsüberprüfungen
- Aufforderungen zur Eingabe von “Einmalpasswörtern” auf Microsoft-Seiten
- Unerwarteten Autorisierungsanfragen für Geräte oder Anwendungen
Administratoren sollten zudem verdächtige App-Registrierungen in Azure überwachen und ungewöhnliche OAuth-Autorisierungen protokollieren. Conditional-Access-Richtlinien und strikte App-Governance können das Risiko reduzieren.
(lb/Proofpoint)
