Microsoft 365: Neue Phishing-Welle umgeht Zwei-Faktor-Authentifizierung

Cyberkriminelle nutzen den legitimen Device Code Flow von Microsoft, um die mehrstufige Authentifizierung zu umgehen. Unternehmen müssen ihre Sicherheitsrichtlinien dringend anpassen.

IT-Sicherheitsexperten warnen vor einem massiven Anstieg raffinierter Angriffe auf Microsoft-Konten, die gerade in der Weihnachtszeit mit schlanker Personaldecke besonders gefährlich sind. Die als Device Code Phishing bekannte Methode nutzt legitime Microsoft-Anmeldeverfahren aus, um die mehrstufige Authentifizierung (MFA) zu umgehen. Sowohl staatlich gesteuerte Spionagegruppen als auch Cyberkriminelle setzen diese Technik derzeit aggressiv ein.

So funktioniert der trickreiche Angriff

Der Angriff dreht sich um den Missbrauch des OAuth 2.0 Device Authorization Grant Flow. Dieses Protokoll sollte eigentlich Geräten mit eingeschränkter Eingabemöglichkeit – wie Smart-TVs oder Druckern – den Zugang zu Microsoft 365 erlauben. Betrüger haben es nun für ihre Zwecke umfunktioniert.

In einem typischen Angriffsszenario erhalten Mitarbeiter täuschend echte Phishing-E-Mails, die als interne IT-Warnungen, Gehaltsupdates oder geteilte Dokumente getarnt sind. Statt auf eine gefälschte Login-Seite zu führen, präsentiert der Link einen Code und weist den Nutzer an, die echte Microsoft-Website (microsoft.com/devicelogin) aufzurufen. Der Nutzer gibt dort seine Anmeldedaten ein und bestätigt die Zwei-Faktor-Authentifizierung – alles auf der vertrauenswürdigen Microsoft-Domain. Unbemerkt hat er damit jedoch nicht sein Smart-TV, sondern die im Hintergrund laufende Schadsoftware des Angreifers autorisiert, auf sein Konto zuzugreifen.

Viele Angriffe beginnen mit täuschend echten E-Mails und enden in massiven Unternehmensschäden. Aktuelle Reports zeigen, dass speziell Device-Code-Phishing Sicherheits-Teams vor neue Herausforderungen stellt. Ein kostenloses Anti-Phishing-Paket erklärt in klaren Schritten, welche psychologischen Tricks Phisher nutzen und welche technischen Kontrollen sofort schützen. Praktische Checklisten und Maßnahmen für IT-Verantwortliche helfen, CEO-Fraud & Co. zu stoppen. Anti-Phishing-Paket jetzt herunterladen

Wer steckt hinter den Attacken?

Die Technik ist längst kein Geheimwissen mehr, sondern wird von verschiedenen Akteuren professionell genutzt. Sicherheitsforscher identifizierten zwei Hauptgruppen:

Die als UNK_AcademicFlare bekannte, mutmaßlich russisch-alignede Spionagegruppe zielt seit Mitte Dezember gezielt auf Regierungs-, Militär- und Forschungseinrichtungen in den USA und Europa ab. Ihre Taktik: Sie kompromittieren zunächst ein legitimes E-Mail-Konto, um Vertrauen aufzubauen, bevor sie den finalen Phishing-Link versenden. Besonders im Visier stehen Experten für Russland-Politik in Denkfabriken und der Energiewirtschaft.

Auf der anderen Seite steht die finanziell motivierte Gruppe TA2723. Sie setzt auf Masse statt Klasse und verschickt breit angelegte Kampagnen mit Ködern wie „Gehaltsbonus“ oder „Mitarbeiter-Benefits-Bericht“, um möglichst viele Zugangsdaten zu erbeuten.

Industrialisierte Angriffswerkzeuge treiben die Welle

Ein Hauptgrund für den massiven Anstieg ist die Kommerzialisierung der Angriffstechnik. Tools wie SquarePhish2 und Graphish automatisieren die Generierung von Device Codes und das Abfangen der Zugriffstoken. Sie senken die technische Einstiegsschwelle erheblich und ermöglichen es auch weniger versierten Angreifern, diese komplexen OAuth-Angriffe durchzuführen. Seit September 2025 beobachten Analysten deshalb immer umfangreichere Kampagnen, die sich zum Jahresende noch einmal deutlich intensiviert haben.

Das können Unternehmen jetzt tun

Für Firmen, besonders unter der strengen EU-Datenschutz-Grundverordnung (DSGVO), stellt ein erfolgreicher Angriff ein enormes Compliance-Risiko dar. Angreifer erhalten vollen Zugriff auf E-Mails, SharePoint und OneDrive – ideal für umfangreichen Datendiebstahl.

IT-Administratoren sollten umgehend handeln:
1. Device Code Flow blockieren: Die wirksamste Gegenmaßnahme ist, den Device Code Flow komplett zu deaktivieren, sofern er für den Geschäftsbetrieb nicht zwingend erforderlich ist. Dies lässt sich über Conditional Access-Richtlinien in Microsoft Entra ID (ehemals Azure AD) umsetzen.
2. Auf verwaltete Geräte beschränken: Wenn der Flow benötigt wird, sollte er auf konforme, firmenverwaltete Geräte oder vertrauenswürdige IP-Bereiche beschränkt werden.
3. Monitoring verschärfen: Security Operations Center (SOCs) sollten die Anmelde-Logs auf auffällig viele Erfolge oder Fehlschläge beim Device Code Flow aus ungewöhnlichen Regionen überwachen.
4. Mitarbeiter schulen: Die Security-Awareness-Schulungen müssen aktualisiert werden. Die klare Botschaft: Nie einen Code auf microsoft.com/devicelogin eingeben, es sei denn, man hat die Anfrage selbst von einem physischen Gerät vor sich initiiert.

Angreifer adaptieren sich an bessere Abwehr

Der Trend, legitime Identitäts-Workflows anzugreifen, markiert eine gefährliche Entwicklung. Während Unternehmen ihre Abwehr gegen klassisches Credential Harvesting verbessern – etwa durch FIDO2-Sicherheitsschlüssel –, verlagern Angreifer ihren Fokus auf den Authentifizierungsprozess selbst.

Experten prognostizieren, dass Herausforderungen im Bereich Identity Threat Detection and Response (ITDR) 2026 weiter zunehmen werden. Da Tools wie SquarePhish2 immer leichter verfügbar werden, wird Device Code Phishing wohl noch lange ein fester Bestandteil im Arsenal der Cyberkriminellen bleiben. Unternehmen sollten ihre Sicherheitsrichtlinien vor dem Jahreswechsel unbedingt überprüfen.

PS: Wenn Sie Ihre Abwehr jetzt stärken möchten: Der kostenlose Anti‑Phishing-Guide stellt eine 4‑Schritte-Anleitung zur erfolgreichen Hacker-Abwehr bereit – von Erkennungsmustern über technische Kontrollen bis zu Awareness-Checks für Mitarbeiter. Ideal für IT-Verantwortliche, die kurzfristig wirksame Maßnahmen implementieren wollen. Jetzt Anti‑Phishing-4‑Schritte-Guide sichern