Microsoft warnt vor neuen Angriffen mit vertrauenswürdigen Zertifikaten

Microsofts Sicherheitsforscher decken eine hochgradig koordinierte Phishing-Kampagne auf, die digitale Zertifikate und Bürosoftware für Netzwerk-Invasionen missbraucht. Gleichzeitig rollt der Konzern wichtige Updates für seine Defender-Sicherheitsplattform aus.

Die Bedrohungslage für Unternehmen wird immer komplexer. Kürzlich enthüllte das Microsoft Defender Security Research Team eine raffinierte Phishing-Kampagne, die sich gezielt in Unternehmensnetzwerke einschleicht. Der Trick: Die Angreifer nutzen vertrauenswürdige digitale Zertifikate und imitieren gängige Büroanwendungen. Parallel dazu startet Microsoft eine Welle von Feature-Updates für Windows Security und Microsoft Defender. Diese Doppelentwicklung unterstreicht, wie schnell sich identitätsbasierte Bedrohungen entwickeln und wie kontinuierlich Sicherheitsplattformen nachziehen müssen.

Angreifer nutzen immer häufiger das Vertrauen in bekannte Bürosoftware aus, um Schadcode unbemerkt in Firmennetzwerke einzuschleusen. Dieser Experten-Report enthüllt effektive Strategien, wie sich mittelständische Unternehmen ohne Budget-Explosion gegen solche Cyberkriminellen wappnen können. Effektive Strategien zur Hacker-Abwehr entdecken

Raffinierte Phishing-Angriffe kapern vertrauenswürdige Zertifikate

Laut aktueller Bedrohungsanalysen von Microsoft zielt eine neu identifizierte Phishing-Operation gezielt auf Firmennetzwerke ab. Die Angreifer versenden betrügerische Meeting-Einladungen und PDF-Anhänge. Die Schadsoftware tarnt sich dabei als Standard-Bürosoftware – darunter Microsoft Teams, Zoom, Google Meet und Adobe Acrobat Reader.

Der Erfolg der Kampagne basiert entscheidend auf dem Missbrauch eines Extended Validation (EV) Digitalzertifikats. Die schädlichen Dateien wurden mit einem kompromittierten Zertifikat der Firma „TrustConnect Software PTY LTD“ signiert. Durch dieses gültige EV-Zertifikat erhält die Malware einen hohen Reputationsscore. Sie umgeht so mühelos erste Sicherheitswarnungen und weckt kaum Misstrauen bei Nutzern – anders als unsignierte Anwendungen.

Nach der Ausführung installieren die gefälschten Installationsprogramme im Hintergrund legitime Remote Monitoring and Management (RMM)-Tools wie ScreenConnect, Tactical RMM und MeshAgent. Sicherheitsanalysten betonen: Die gleichzeitige Bereitstellung mehrerer RMM-Frameworks stellt sicher, dass die Angreifer dauerhaften Backdoor-Zugriff behalten. Wird ein Fernzugangskanal von der IT-Abteilung entdeckt und neutralisiert, ermöglichen die redundanten Tools den Tätern, ihre Position im Netzwerk zu halten. Die Malware sichert ihre Persistenz, indem sie sich in den Program Files-Ordner kopiert, als Windows-Dienst registriert wird und mit kodierten PowerShell-Befehlen die Kommunikation zur Infrastruktur der Angreifer aufbaut.

OAuth-Protokoll wird zur Schwachstelle

In einer separaten Warnung wies Microsoft auf einen weiteren ausgeklügelten Angriffsvektor hin, der das OAuth-Protokoll ausnutzt. Forscher entdeckten Kampagnen, die legitime OAuth-URL-Weiterleitungsfunktionen manipulieren, um Malware einzuschleusen und herkömmliche E-Mail- und Browser-Abwehrmechanismen zu umgehen.

Die Aktivitäten richten sich primär gegen Behörden und Organisationen des öffentlichen Sektors. Statt traditioneller Software-Schwachstellen auszunutzen, erstellen die Angreifer manipulierte URLs mit beliebten Identitätsanbietern wie Microsoft Entra ID oder Google Workspace. Interagieren Nutzer mit diesen scheinbar harmlosen Links, leiten sie die nativen Fehlerbehandlungsroutinen des OAuth-Protokolls auf eine von Angreifern kontrollierte Infrastruktur um.

Cybersicherheitsexperten sehen darin eine bedeutende Verschiebung hin zu identitätsbasierten Bedrohungen. Indem sie standardmäßige Protokollverhalten weaponisieren, können Bedrohungsakteure Opfer zu Phishing-Frameworks wie EvilProxy umleiten, um Sitzungs-Cookies abzufangen oder schädliche Nutzlasten zu liefern. Microsoft hat bereits mehrere bösartige OAuth-Anwendungen der Kampagne deaktiviert. Das Unternehmen rät Organisationen dringend, Anwendungsberechtigungen streng zu kontrollieren, Nutzereinwilligungen einzuschränken und bestehende Integrationen regelmäßig auf Kompromittierung zu überprüfen.

Ob CEO-Fraud oder manipulierte OAuth-Abfragen – Hacker nutzen gezielt psychologische Schwachstellen aus, um Mitarbeiter zu täuschen. In diesem kostenlosen Experten-Guide erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen mit wirksamen Schutzmaßnahmen vor modernen Phishing-Angriffen bewahren. Kostenlosen Anti-Phishing-Guide herunterladen

Neue Defender-Updates sollen Bedrohungen kontern

Als Reaktion auf diese eskalierenden Bedrohungen bringt Microsoft im März 2026 mehrere kritische Updates für seine Sicherheitsprodukte heraus. Eine prominente Neuerung in Microsoft Defender for Office 365 ist eine neue URL-Klick-Alarm-Integration für Microsoft Teams. Die Funktion, die diesen Monat in die Preview- und Rollout-Phase geht, benachrichtigt Sicherheitsteams proaktiv in dem Moment, in dem ein Nutzer in einem Teams-Chat auf einen bösartigen Link klickt. Dieser Alarmmechanismus soll Organisationen helfen, Risiken schnell zu identifizieren und Incident-Response-Verfahren einzuleiten, bevor es zu einer weiteren Netzwerkkompromittierung kommt.

Signifikante architektonische Änderungen betreffen auch das Endpunkt-Management. Seit Anfang März 2026 speichern Microsoft Defender Antivirus-Geräte, die die Sicherheitseinstellungen von Microsoft Defender for Endpoint (MDE) nutzen, keine lesbaren Ausschlusswerte mehr in der lokalen Geräteregistrierung. Administratoren und Monitoring-Tools, die bisher auf registry-basierte Extraktionen angewiesen waren, müssen nun unterstützte PowerShell-Cmdlets verwenden, um Antiviren-Konfigurationseinstellungen abzurufen. Dieses Update zielt darauf ab, Konfigurationsdaten vor lokaler Manipulation zu schützen und gleichzeitig das Unternehmensmanagement zu standardisieren.

Zusätzlich kündigte Microsoft an, dass die Funktion „Effective Settings Reporting“ für die Gerätesicherheit nun allgemein verfügbar ist. Dieses Tool behebt eine anhaltende administrative Herausforderung, indem es die tatsächlich auf einem bestimmten Gerät durchgesetzten Sicherheitskonfigurationen anzeigt – und nicht nur die beabsichtigten Richtlinieneinstellungen. So werden gefährliche Sichtbarkeitslücken geschlossen.

Auch die Mobilgerätesicherheit wird angepasst. Bis Ende März 2026 wird Microsoft Defender for Android offiziell den Support für den Schutz persönlicher Profile auf eingetragenen Geräten einstellen, die über Mobile-Device-Management-Richtlinien verwaltet werden. Microsoft begründet diese Änderung mit einer strengeren „Enterprise-First“-Sicherheitsstrategie. Die Ressourcen sollen sich ausschließlich auf die Sicherung von Corporate-Work-Profilen und eine robuste plattformweite Datentrennung konzentrieren.

Branchenanalyse: Der Übergang zu identitätsbasierten Bedrohungen

Die Entwicklungen der ersten Märztage 2026 markieren einen kritischen Übergang in der Unternehmens-Cybersicherheit. Branchenanalysten beobachten, dass Bedrohungsakteure komplexe Zero-Day-Exploits zunehmend zugunsten von „Living-off-the-Land“-Techniken aufgeben. Indem sie legitime RMM-Tools und vertrauenswürdige digitale Signaturen vereinnahmen, machen Angreifer ihre Aktivitäten kaum noch von routinemäßigen IT-Administrationsaufgaben unterscheidbar.

Sicherheitsexperten weisen darauf hin, dass traditionelle, signaturbasierte Antivirenlösungen nicht mehr ausreichen, wenn Schadsoftware über ein gültiges Extended-Validation-Zertifikat verfügt. Folglich werden Organisationen gedrängt, auf verhaltensbasierte Erkennungssysteme und Zero-Trust-Architekturen umzusteigen. Die Überwachung des tatsächlichen Verhaltens von Anwendungen – wie unerwartete PowerShell-Ausführungen oder unbefugte ausgehende Verbindungen von einem PDF-Reader – ist für die Identifizierung dieser ausgeklügelten Eindringlinge unerlässlich geworden.

Die Integration fortschrittlicher Monitoring-Tools direkt in Kommunikationsplattformen, wie bei den neuen Microsoft Teams-URL-Klick-Alarmen, spiegelt einen breiteren Branchentrend wider, kollaborative Umgebungen abzusichern. Da Remote-Arbeit weiterhin stark auf Unified-Communication-Tools angewiesen ist, sind diese Plattformen zu primären Zielen für Social Engineering und das Einschleusen von Schadcode geworden. Das erfordert Sicherheitsmaßnahmen, die nahtlos in den Anwendungen selbst operieren.