Microsoft warnt vor neuartiger OAuth-Phishing-Kampagne

Eine raffinierte Phishing-Kampagne nutzt eine legitime Funktion des OAuth-Protokolls, um Behörden und Unternehmen anzugreifen. Die Angreifer lenken Nutzer über Fehlermeldungen auf bösartige Webseiten.

Die Bedrohung zielt gezielt auf Regierungs- und öffentliche Einrichtungen ab. Statt Passwörter zu stehlen, wollen die Angreifer Malware einschleusen. Microsoft hat die Aktivität identifiziert und warnt vor dieser neuen Angriffsmethode, die konventionelle Sicherheitsmaßnahmen umgeht.

Phishing-Angriffe werden immer raffinierter und nutzen gezielt psychologische Schwachstellen Ihrer Mitarbeiter aus, um Sicherheitsbarrieren zu umgehen. Dieser Experten-Guide enthüllt aktuelle Hacker-Methoden und zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen effektiv vor solchen Attacken schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Das perfide Prinzip: Vertrauen wird missbraucht

Im Kern nutzt der Angriff eine Standardfunktion von OAuth, dem offenen Protokoll für sichere Anmeldungen. Normalerweise leitet der Identitätsanbieter bei einem Authentifizierungsfehler den Nutzer auf eine definierte Fehlerseite um. Genau diesen Mechanismus haben die Angreifer nun weaponisiert.

Der Angriff beginnt mit einer Phishing-E-Mail, die geschäftliche Kommunikation wie Teams-Einladungen oder HR-Benachrichtigungen vortäuscht. Der darin enthaltene Link führt zunächst auf eine legitime Microsoft-Login-Seite. Das schafft Vertrauen. Doch die URL enthält manipulierte Parameter, die einen Fehler provozieren.

Die Folge: Das Protokoll leitet den Nutzer weiter – aber nicht auf eine echte Fehlerseite, sondern auf eine vom Angreifer kontrollierte Domain. Dieser bösartige Redirect ist das Herzstück der Attacke.

Vom Link zum Schadprogramm

Die Methode ist besonders tückisch, weil gängige Sicherheitshinweise wie "Prüfen Sie die Link-Adresse" ins Leere laufen. Die erste Domain ist vertrauenswürdig, der eigentliche Betrug passiert erst im zweiten Schritt.

Auf der Malware-Seite werden die Opfer oft zum Download einer ZIP-Datei aufgefordert. In den Archiven verstecken sich schädliche Payloads wie Windows-LNK-Dateien oder HTML-Smuggling-Loader. Das Ziel ist der initiale Zugriff auf Systeme, vermutlich als Vorstufe für Ransomware-Angriffe oder Spionage.

Identitätsbasierte Bedrohung erfordert neue Abwehr

Diese Kampagne unterstreicht einen besorgniserregenden Trend: Angreifer nutzen zunehmend Protokoll-Features statt Software-Schwachstellen. Da der Angriff standardkonform arbeitet, umgeht er viele herkömmliche E-Mail- und Browserfilter.

Microsoft hat bereits mehrere bösartige OAuth-Anwendungen in seinem Ökosystem deaktiviert. Doch die Technik an sich bleibt gefährlich. Das Unternehmen drängt Organisationen deshalb zu strengeren Kontrollen.

So können sich Unternehmen schützen

Die Empfehlungen von Microsoft zielen auf eine robustere Anwendungs-Governance ab:
* Beschränken Sie die Berechtigung von Nutzern, neuen Drittanbieter-Apps zuzustimmen.
* Führen Sie regelmäßige Audits aller App-Berechtigungen durch.
* Entfernen Sie umgehend ungenutzte, veraltete oder überprivigelierte Anwendungen.

Microsoft hat technische Details und Indikatoren für Kompromittierung veröffentlicht, um die Erkennung zu erleichtern.

Da 73 % der deutschen Unternehmen unzureichend auf moderne Cyberangriffe vorbereitet sind, ist eine proaktive Stärkung der IT-Sicherheit heute unerlässlich. Erfahren Sie in diesem kostenlosen Report, wie Sie Ihr Unternehmen mit einfachen Strategien und ohne Budget-Explosion gegen Cyberkriminelle wappnen. Experten-Report für effektive IT-Sicherheit sichern

Ausblick: Ein Warnsignal für die Branche

Der Missbrauch von OAuth-Fehlermeldungen zeigt, wie Bedrohungsakteure ständig neue Wege finden, vertrauenswürdige Internet-Infrastrukturen auszunutzen. Da Unternehmen immer stärker auf Drittanbieter-Apps und föderierte Identitäten setzen, wird diese Angriffsfläche weiter wachsen.

Experten erwarten, dass andere kriminelle Gruppen diese effektive Methode übernehmen werden. Die Kampagne ist ein klares Signal: Einfaches Link-Scanning reicht nicht mehr aus. Proaktives OAuth-Monitoring und strikte Kontrollen über App-Integrationen sind heute essenzielle Bausteine jeder Cybersecurity-Strategie.