Outlook-Add-In gehackt: MFA-Umgehung per QR-Codes

Outlook-Add-In gehackt: MFA-Umgehung per QR-Codes entdeckt.
An diesem Wochenende wurden zwei neue Entwicklungen im Bereich Cyber-Sicherheit bekannt, die zeigen, wie Angreifer Sicherheitsbarrieren umgehen. Die Vorfälle betreffen vor allem Unternehmen, die auf Microsoft 365 setzen. Welche Folgen haben sie für Deutschland und die EU?

Outlook-Add-In „AgreeTo“ kompromittiert Firmen-E-Mails

Ein schwerwiegender Vorfall betreffen das Produktivitätswerkzeug „AgreeTo“. Die Outlook-Erweiterung war im Microsoft Office Add-in Store gelistet und wurde nach dem Auslaufen der zugehörigen Domain von Kriminellen übernommen. Die Angreifer registrierten die verlassene Domain, änderten das Backend der Add-in-Funktionalität und nutzten die bereits installierte Berechtigung der Betroffenen, um Inhalte direkt im Outlook-Fenster anzuzeigen.

Berichte legen nahe, dass die Angreifer ein Phishing-Kit in die Oberfläche integrierten, das eine gefälschte Microsoft-Login-Seite zeigte – direkt über legitimen E-Mails. Nutze der Opfer wurden so dazu verleitet, Anmeldedaten einzugeben. Die gestreiften Daten wurden über die Telegram Bot API exfiltriert. Um Verdacht zu minimieren, leiteten die Täter anschließend den Nutzer wieder zur echten Microsoft-Anmeldeseite weiter. Ein verwandtes Chrome-Addon für dasselbe Tool war bereits im Februar 2025 aus dem Chrome Web Store entfernt worden; die Outlook-Version blieb offen und unbeobachtet, bis der Vorfall publik wurde. Experten warnen vor einer „Zombie-Software“-Schwachstelle: Verlassene, legitime Werkzeuge öffnen Lücken in sicher geglaubten Umgebungen.

Wenn Sie Ihre Outlook-Installation und eingesetzte Add‑Ins jetzt schnell prüfen und sicher einrichten möchten, hilft ein kostenloser Praxis‑Guide. Der Gratis-Download erklärt Schritt für Schritt die richtige Outlook‑Einrichtung, zeigt typische Fehlerquellen (auch bei Add‑Ins) und bietet Zeitspar‑ und Sicherungstipps für E‑Mail, Kalender und Smartphone‑Sync. Jetzt kostenlosen Outlook-Guide sichern

„Operation Chimera“: QR-Code-Phishing treibt MFA-Umgehung voran

Parallel dazu meldeten Sicherheitsexperten eine Verschärfung der Kampagne „Operation Chimera“. Die Angreifer setzen auf Mehrstufenangriffe, die speziell darauf abzielen, die MFA zu umgehen. Kern der Taktik ist das sogenannte Quishing: E-Mails enthalten keinen schädlichen Link, sondern einen QR-Code in einem PDF- oder Bild-Dokument.

Wirkung entfaltet sich, wenn Mitarbeiter den Code mit dem Smartphone scannen – der Angriff wechselt so vom Unternehmensnetzwerk auf ein persönliches Endgerät. Die Nutzer gelangen zu einer Phishing-Seite, die auf legitimer Cloud-Infrastruktur läuft. Analysten beobachten außerdem den Einsatz von AiTM-Werkzeugen (Adversary-in-the-Middle), die die Authentifizierung in Echtzeit abfangen. Die Angreifer erfassen so Passwort UND Session-Cookies nach der MFA-Authorisierung, können die Sitzung wiederholen und gewinnen so Zugriff, ohne die zweite Faktor erneut zu benötigen.

Folgen für Unternehmen und Compliance

Die Verbindung dieser beiden Bedrohungen – Schmuggel von Drittanbieter-Tools in die Lieferkette und MFA-Umgehung über mobile Endgeräte – sorgt bei Compliance-Verantwortlichen und Aufsichtsbehörden für erhöhte Sorgen. Für deutsche Unternehmen gilt: Standardprozesse reichen oft nicht mehr aus, um derartigen Angriffen standzuhalten.

• Lieferketten- und Drittanbieter-Risiken: Die „AgreeTo“-Incident zeigt, wie fragil Software-Ökosysteme werden können, wenn Vendorendomain- oder Zertifikatsprobleme nicht zeitnah administriert werden.
• Mobile Sicherheitslücke: Da der initiale Kontakt oft auf dem Smartphone erfolgt, umgehen Angreifer Netzwerkausfiltrationen und Firewalls – ein Hinweis auf die wachsende Bedeutung von Mobile-First-Schutzmaßnahmen.

Wie reagieren Branchenakteure? Experten empfehlen klare Vorgaben für die Verwaltung von Add-ins/Erweiterungen in Unternehmensumgebungen und stärkere Kontrollen der Lieferketten.

Gegenmaßnahmen und Ausblick

Sicherheitsberater raten Unternehmen zu konkreten Schritten in der kommenden Woche:

• Prüfung von Drittanbieter-Integrationen: Alle Microsoft-365-Add-ins auf Aktualität prüfen, Add-Ins deaktivieren, die in den letzten 12 Monaten kein Update erhalten haben oder deren Entwicklerseiten offline sind. Die Entfernung von „AgreeTo“ sollte in betroffenen Mandanten erfolgen.
• Phishing-resistente MFA forcieren: Statt reiner Passwort-Schutzmechanismen setzen Unternehmen stärker auf FIDO2/WebAuthn-Hardware-Keys oder passkey-basierte Verfahren, die gegen Credential-Stressing und Proxy-Attacks immun sind.
• Sensibilisierung für QR-Codes in E-M-Mails: Schulungen, die erläutern, warum QR-Codes per E-Mail selten legitime Geschäftsprozesse unterstützen. Keine Codes aus verdächtigen Quellen scannen.
• BSI- und EU-Kontenrahmen beachten: Behördenrichtlinien zur Cloud-Sicherheit und zum Umgang mit Add-ins sollten integriert werden, um EU-weit konsistente Standards sicherzustellen.

Die Vorfälle machen deutlich: Vertraute Tools und mobile Arbeitsweisen sind keine sicheren Inseln mehr. Unternehmen in Deutschland und der EU sollten ihre Sicherheitsarchitektur zeitnah überprüfen, um Lieferkettenrisiken zu senken und MFA wirklich robust zu machen. SAP, Telekom und andere DAX-Unternehmen stehen vor ähnlichen Herausforderungen: Wie gelingt der Balanceakt zwischen Effizienz und Sicherheit in einer zunehmend vernetzten Geschäftswelt?

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.