Microsoft 365: Phishing-Kampagne umgeht MFA durch OAuth-Protokoll-Missbrauch
Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Update 08.07.2026: Zusätzlich wurde eine weiterentwickelte Angriffsvariante bekannt, die AES-GCM-verschlüsselte HTML-Landingpages nutzt und ausschließlich im Browser des Opfers entschlüsselt wird („Ghost Code“-Technik). Diese Methode erschwert die Erkennung durch Sicherheitslösungen erheblich. Details siehe unten.
Mindestens seit April 2026 wird eine Phishing-Kampagne beobachtet, die gezielt Konten von Microsoft 365 kompromittiert. Cisco Talos veröffentlichte dazu am 30. Juni 2026 eine umfassende Analyse. Angreifer missbrauchen dabei eine legitime Funktion – den OAuth 2.0 Device Authorization Grant Flow –, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen und Zugriff auf Unternehmensdaten zu erlangen. Die Kampagne nutzt das Phishing-as-a-Service (PhaaS) Kit ARToken, das laut Cisco Talos als Affiliate oder Kunde der EvilTokens-Plattform eingestuft wird und deren Infrastruktur sowie API-Verträge teilt.
Die Fakten im Überblick:
Angriffsmethode: Microsoft 365 Device-Code-Phishing über den OAuth 2.0 Flow; neue Variante mit AES-GCM-verschlüsselten Landingpages.
Tooling: ARToken PhaaS-Panel, teilt Infrastruktur und Betriebsmuster mit EvilTokens; weiteres verwandtes Kit: Kali365.
Ziel: Übernahme von Microsoft 365 Konten durch Diebstahl von OAuth Zugangs- und Aktualisierungs-Tokens.
Persistenz: Gestohlene OAuth Refresh Tokens bleiben laut Cisco Talos auch nach einer Passwortänderung des Opfers gültig, sofern sie nicht explizit widerrufen werden.
Neue Technik: „Ghost Code“-Phishing mit browserseitiger Entschlüsselung erschwert Detektion durch E-Mail-Gateways und Sandboxes.
Schutz: Standard-MFA ist wirkungslos. Nur Phishing-resistente MFA (FIDO2) und die Blockade des Device-Code-Flows bieten Schutz.
Ablauf des Angriffs auf Microsoft 365 Konten
Der Angriff nutzt eine Anmeldefunktion, die für Geräte ohne Browser oder mit eingeschränkten Eingabemöglichkeiten wie Smart-TVs oder IoT-Geräte entwickelt wurde. Anstatt Anmeldedaten direkt einzugeben, zeigt das Gerät einen Code an. Der Benutzer gibt diesen Code auf einem zweiten, bereits authentifizierten Gerät in eine legitime Microsoft-Anmeldeseite ein und autorisiert damit das neue Gerät.
Die Angriffskette beginnt mit einer Phishing-E-Mail, die das Opfer unter dem Vorwand einer zu prüfenden Rechnung zum Klick auf einen Link verleitet. Dieser Link führt zu einer Seite, die im Hintergrund eine legitime Microsoft-Anmeldeanforderung auslöst. Dem Opfer wird eine authentisch wirkende Microsoft-Seite mit einem Geräte-Code angezeigt. Gibt der Benutzer diesen Code ein, autorisiert er unwissentlich die Sitzung des Angreifers. Dieser erhält daraufhin einen Access Token und einen Refresh Token, was ihm Zugriff auf E-Mails, OneDrive und SharePoint gewährt.
Die besondere Gefahr liegt in der Persistenz der gestohlenen OAuth Refresh Tokens: Sie bleiben laut Cisco Talos auch nach einer Passwortänderung des betroffenen Benutzers gültig. Zusätzlich nutzt ARToken einen sogenannten „Broker-Modus“, um über den Microsoft Authentication Broker PRT-artige Persistenz zu erlangen. Nur ein expliziter Widerruf der Tokens über Microsoft Entra ID beendet den Zugriff des Angreifers.
Ghost-Phishing: Verschleierung durch browserseitige Entschlüsselung
Die neu beobachtete Angriffsvariante setzt auf eine fortgeschrittene Verschleierungstechnik, die als „Ghost Code“-Phishing bezeichnet wird. Dabei werden die Phishing-Landingpages mit AES-GCM verschlüsselt ausgeliefert. Der Entschlüsselungsschlüssel wird als Fragment-Identifier (nach dem #-Zeichen) in der URL übertragen und erreicht den Server nie. Die Entschlüsselung erfolgt ausschließlich im Browser des Opfers durch clientseitiges JavaScript.
Diese Methode bietet Angreifern mehrere Vorteile: E-Mail-Sicherheitsgateways und Sandboxes können den verschlüsselten Inhalt nicht analysieren, da sie keinen Zugriff auf den URL-Fragment haben. Selbst bei einer Inspektion der Landingpage durch Sicherheitslösungen bleibt der eigentliche Phishing-Inhalt verborgen. Erst wenn ein echter Benutzer den vollständigen Link aus der E-Mail aufruft, wird die täuschend echte Microsoft-Anmeldeseite mit dem Device-Code sichtbar.
Die Technik erhöht die Erfolgsquote der Kampagne erheblich, da herkömmliche URL-Reputationssysteme und Content-Filter ins Leere laufen. Für Sicherheitsteams bedeutet dies, dass präventive Kontrollen wie E-Mail-Filterung und Link-Scanning allein nicht ausreichen.
ARToken und EvilTokens: Das PhaaS-Ökosystem
Hinter der Kampagne steckt das ARToken-Panel, das als Phishing-as-a-Service (PhaaS) vertrieben wird. Wie Cisco Talos Ende Juni 2026 berichtete, teilt ARToken Infrastruktur, API-Verträge und Betriebsmuster mit der EvilTokens-Plattform und wird als deren Affiliate oder Kunde eingestuft. Neben ARToken ist mit Kali365 ein weiteres PhaaS-Kit bekannt, das dieselbe Schwachstelle im Microsoft Device Authorization Flow ausnutzt. Diese Kits senken die Einstiegshürde für Angreifer erheblich, da sie eine professionelle Infrastruktur für die Durchführung von Phishing-Angriffen und die Verwaltung kompromittierter Konten bereitstellen.
Empfohlene Schutzmaßnahmen
Da es sich um den Missbrauch eines Protokolldesigns handelt, existiert kein klassischer Software-Patch. Schutz erfordert eine Kombination aus technischen Kontrollen und Sensibilisierung.
Sofortmaßnahmen: Weisen Sie Mitarbeiter an, niemals Geräte-Codes einzugeben, die sie über unaufgeforderte E-Mails erhalten haben. Bei Verdacht auf eine Kompromittierung müssen Administratoren sofort alle Aktualisierungs-Tokens des betroffenen Benutzers über die Funktion revokeSignInSessions in Microsoft Entra ID widerrufen.
Kurzfristige Maßnahmen: Schulen Sie Mitarbeiter gezielt zu den Gefahren des Device-Code-Phishings und der neuen Ghost-Code-Variante. Überwachen Sie Azure-Protokolle auf verdächtige OAuth-Token-Aktivitäten, nicht autorisierte Geräte-Code-Authentifizierungen und unerwartete PRT-Registrierungen. Auditieren Sie bestehende Posteingangsregeln und OAuth-Zustimmungen. Implementieren Sie verhaltensbasierte Anomalieerkennung, da signaturbasierte Systeme verschlüsselte Phishing-Seiten nicht erkennen.
Langfristige Härtung: Der effektivste Schutz ist die Deaktivierung des Device-Code-Authentifizierungsflusses über Conditional Access Policies in Microsoft Entra ID. Diese Funktion sollte für Standardbenutzer blockiert und nur für explizit dokumentierte und überwachte Service-Accounts (z.B. für IoT-Anwendungsfälle) zugelassen werden. Führen Sie Phishing-resistente MFA wie FIDO2 oder Passkeys ein, da herkömmliche MFA-Methoden bei diesem Angriff ausgehebelt werden.
Relevanz für DACH-Unternehmen
Für Unternehmen in Deutschland, Österreich und der Schweiz gilt: Wird im Zuge einer erfolgreichen Kontoübernahme auf personenbezogene Daten zugegriffen oder werden diese kompromittiert, besteht gemäß Art. 33 DSGVO eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls. Microsoft 365 ist als zentrale Kommunikations- und Kollaborationsplattform zudem im Kontext von NIS-2 relevant: Betreiber wesentlicher und wichtiger Einrichtungen sind verpflichtet, geeignete technische Maßnahmen zur Absicherung von Authentifizierungsverfahren nachzuweisen und Sicherheitsvorfälle zu melden. Organisationen sollten prüfen, ob ihre Authentifizierungskonfiguration den Anforderungen dieser Regelwerke entspricht.
Einordnung durch LocateRisk
Der beschriebene Angriff verdeutlicht die Notwendigkeit einer umfassenden Sichtbarkeit der eigenen IT-Infrastruktur und der damit verbundenen Risiken.
External Attack Surface Management (EASM): Microsoft 365 ist ein extern erreichbarer Dienst, der Teil der Angriffsfläche eines Unternehmens ist. Eine EASM-Plattform wie LocateRisk inventarisiert kontinuierlich alle externen Assets, einschließlich der mit Ihrer Organisation verbundenen Microsoft-Dienste. Dies schafft die notwendige Transparenz, um Konfigurationen zu überprüfen und sicherzustellen, dass Authentifizierungsmethoden wie der Device-Code-Flow nur dort aktiviert sind, wo sie betrieblich notwendig sind.
Vendor Risk Management (VRM): Wird ein Lieferant oder Partner über diesen Weg kompromittiert, entsteht ein direktes Risiko für die eigene Lieferkette. Angreifer könnten den gekaperten Account nutzen, um BEC-Angriffe (Business Email Compromise) gegen Ihr Unternehmen zu starten. Ein kontinuierliches VRM bewertet die Sicherheitspostur kritischer Drittanbieter und hilft, solche Risiken frühzeitig zu erkennen und zu adressieren.
LocateRisk bietet eine in Deutschland entwickelte und gehostete Plattform, die Unternehmen dabei unterstützt, ihre DSGVO-Anforderungen zu erfüllen und digitale Souveränität zu wahren.
Eine kontinuierliche Überwachung Ihrer externen IT-Systeme ist die Grundlage für eine proaktive Cyberabwehr. LocateRisk identifiziert exponierte Dienste und Fehlkonfigurationen, bevor Angreifer sie ausnutzen können.
Device-Code-Phishing ist eine Angriffstechnik, bei der eine legitime Authentifizierungsmethode von OAuth 2.0 missbraucht wird. Angreifer verleiten Benutzer dazu, auf ihrem eigenen, sicheren Gerät einen Code einzugeben, der das Gerät des Angreifers autorisiert. Dadurch erhält der Angreifer OAuth Zugriffstoken für das Konto des Opfers, ohne dessen Passwort zu kennen.
Nein, herkömmliche MFA-Methoden wie SMS-Codes oder App-Benachrichtigungen schützen nicht wirksam. Da der Benutzer die Anmeldung auf einem bereits authentifizierten Gerät selbst bestätigt, wird die MFA-Abfrage erfolgreich abgeschlossen. Nur Phishing-resistente Methoden wie FIDO2-Sicherheitsschlüssel oder Passkeys bieten zuverlässigen Schutz.
Nein, für den Missbrauch des OAuth-Device-Code-Flows gibt es keinen Software-Patch, da es sich um den Missbrauch eines Protokolldesigns handelt. Die wirksame Gegenmaßnahme ist die administrative Deaktivierung oder Einschränkung dieser Anmeldefunktion über Conditional Access Policies in Microsoft Entra ID.
Ghost-Code-Phishing nutzt AES-GCM-Verschlüsselung für Phishing-Landingpages, die erst im Browser des Opfers entschlüsselt werden. Der Schlüssel wird als URL-Fragment übertragen und erreicht nie den Server. Dadurch können E-Mail-Gateways und Sandboxes den schädlichen Inhalt nicht analysieren, was die Erkennungsrate herkömmlicher Sicherheitslösungen drastisch senkt.
Fragen Sie jetzt Ihre persönliche Live-Demo an
Erkennen und reduzieren Sie Ihre Cyberrisiken durch einen vergleichbaren und verständlichen Überblick Ihrer IT-Sicherheit. Lassen Sie sich von unseren Experten beraten und finden Sie heraus, wie LocateRisk Ihnen bei der Lösung Ihrer Cyberrisiken helfen kann.
Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!
We use cookies to optimize our website and our service.
Functional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistics
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.