Microsoft warnt vor neuartigen OAuth-Phishing-Angriffen
04.03.2026 - 13:25:04 | boerse-global.de
Microsoft hat eine neue, hochgefährliche Phishing-Welle aufgedeckt, die gezielt Behörden und öffentliche Einrichtungen ins Visier nimmt. Die Angreifer missbrauchen dabei eine legitime Funktion des weit verbreiteten OAuth-Protokolls, um Sicherheitsbarrieren zu umgehen und Nutzer auf bösartige Websites zu locken. Diese Taktik markiert eine gefährliche Weiterentwicklung von Identitäts-basierten Cyberangriffen.
Angriffe auf die digitale Identität und komplexe Phishing-Methoden stellen Unternehmen vor immer größere Herausforderungen bei der IT-Sicherheit. Dieser Experten-Report enthüllt effektive Strategien gegen Cyberkriminelle, die Sie ohne Budget-Explosion umsetzen können. Wie mittelständische Unternehmen sich gegen Cyberkriminelle wappnen
Das perfide Prinzip: Vertrauen wird zur Waffe
Im Gegensatz zu klassischen Angriffen nutzen die Hacker keine Software-Schwachstelle. Stattdessen manipulieren sie den standardmäßigen Weiterleitungsmechanismus innerhalb von OAuth-Autorisierungsprozessen. Diese Protokolle werden von nahezu allen großen Anbietern wie Microsoft Entra ID oder Google Workspace genutzt.
Die Attacke beginnt mit einer Phishing-E-Mail, die dringende Geschäftskommunikation vortäuscht – etwa eine Teams-Einladung oder eine Signaturanfrage. Klickt das Opfer auf den Link, landet es zunächst auf der legitimen Login-Seite von Microsoft oder Google. Doch die Angreifer haben die URL so manipuliert, dass der Authentifizierungsvorgang gezielt scheitert.
Genau hier schlägt die Falle zu: Das OAuth-Protokoll leitet den Nutzer bei einem Fehler automatisch auf eine vordefinierte Seite weiter. Die Hacker haben diese Weiterleitung auf ihre eigene, schädliche Domain umgeleitet. Das Opfer wird so aus einem vertrauenswürdigen Umfeld direkt zur Malware gelockt.
Warum herkömmliche Sicherheit versagt
Die große Gefahr dieser Methode liegt in ihrer Tarnung. Da der erste Link in der E-Mail auf die echte Domain von Microsoft oder Google verweist, durchdringt er mühelos viele automatische Sicherheitsscans. Der gut gemeinte Ratschlag, „immer auf die Ziel-URL zu achten“, ist hier wirkungslos. Der erste Eindruck ist stets legitim.
Laut Microsoft zielen die Angreifer nicht primär auf den Diebstahl von Zugangsdaten ab. Vielmehr nutzen sie den vertrauenswürdigen Umleitungsprozess als Trojanisches Pferd, um Schadsoftware zu platzieren. In den analysierten Kampagnen wurden die Opfer auf Seiten gelockt, die ZIP-Archive mit schädlichen Windows-Verknüpfungen (.LNK) herunterluden. Diese können PowerShell-Befehle ausführen und letztlich die vollständige Kontrolle über das System erlangen.
Da Hacker zunehmend psychologische Schwächen und komplexe Umleitungen nutzen, reicht ein einfacher Basisschutz für Mitarbeiter oft nicht mehr aus. Ein kostenloser Experten-Guide zeigt Ihnen branchenspezifische Gefahren und liefert eine konkrete 4-Schritte-Anleitung zur erfolgreichen Abwehr. In 4 Schritten zur erfolgreichen Hacker-Abwehr: So schützen Sie Ihr Unternehmen vor Phishing
Microsofts Gegenmaßnahmen und Handlungsempfehlungen
Das Unternehmen hat bereits mehrere bösartige OAuth-Anwendungen deaktiviert, die mit den Angriffen in Verbindung stehen. Doch die Warnung ist deutlich: Die zugrundeliegende Technik missbraucht einen fundamentaler Bestandteil des Protokolls. Ähnliche Attacken werden daher weiterhin auftreten.
Sicherheitsexperten drängen vor allem betroffene Organisationen des öffentlichen Sektors zu verstärkten Schutzmaßnahmen. Zentrale Empfehlungen sind:
- OAuth-Berechtigungen strikt beschränken: Nutzer sollten nur notwendigen und verifizierten Apps zustimmen können.
- Regelmäßige Überprüfungen: Administratoren müssen alle App-Berechtigungen in ihrer Umgebung prüfen und nicht genutzte Anwendungen entfernen.
- Umfassende Sicherheitslösungen: Es braucht Systeme, die verdächtige Aktivitäten über E-Mail, Identitätsdienste und Endgeräte hinweg korrelieren können.
Identität wird zum neuen Schlachtfeld
Diese Kampagne unterstreicht einen bedrohlichen Trend: Cyberkriminelle konzentrieren sich immer weniger auf Software-Lücken. Stattdessen waffen sie legitime Systemfunktionen für ihre Zwecke. Ein theoretisches Angriffsszenario ist damit zur praktischen Bedrohung geworden.
Die Branche rechnet damit, dass diese Technik bald auch gegen andere OAuth-Dienste eingesetzt wird. Für Unternehmen bedeutet das: Einfache Link- und Anhangscans reichen nicht mehr aus. Der Fokus muss auf einer ganzheitlichen Sicherheitsstrategie liegen, die robuste Identitätsverwaltung und proaktive Bedrohungserkennung in den Mittelpunkt stellt. Der Wettlauf zwischen Angreifern und Verteidigern auf diesem Feld hat eine neue Stufe erreicht.
Hol dir jetzt den Wissensvorsprung der Aktien-Profis.
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Aktien-Empfehlungen - Dreimal die Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt kostenlos anmelden
Jetzt abonnieren.
