Microsoft, ARToken-Toolkit

Microsoft 365: ARToken-Toolkit mit 80 Funktionen hebelt MFA aus

Veröffentlicht: 06.07.2026 um 17:21 Uhr, Redaktion boerse-global.de

Kriminelle nutzen den Device Code Flow, um die mehrstufige Authentifizierung zu umgehen und auf Unternehmensdaten zuzugreifen.

Phishing-Welle: Neue Angriffe auf Microsoft 365 knacken MFA-Schutz
Microsoft - Ein glühendes digitales Vorhängeschloss löst sich in grüne Binärcodes auf, über einem unscharfen Serverrack. 06.07.2026 - Bild: über boerse-global.de

Sicherheitsforscher schlagen Alarm: Eine Serie raffinierter Phishing-Angriffe zielt direkt auf die Authentifizierungsmechanismen von Microsoft 365 ab. Die Angreifer nutzen dabei eine legitime Funktion – den sogenannten Device Code Flow – um die mehrstufige Authentifizierung (MFA) auszuhebeln und sich ungehinderten Zugriff auf Unternehmenskonten zu verschaffen.

Wie die Angreifer vorgehen

Die Taktik ist ebenso einfach wie effektiv. Zwischen April und Mai 2026 dokumentierten Forscher von Kaspersky eine groß angelegte Kampagne, bei der Angestellte zunächst eine E-Mail mit einem passwortgeschützten PDF erhielten. Darin versteckt: ein Link zu einer Phishing-Seite, die sich als vertrauenswürdiger Dienst wie LawConnect tarnt oder über Plattformen wie Cacoo.com umleitet.

Der entscheidende Trick: Das Opfer erhält einen einmaligen Code und wird aufgefordert, diesen auf der offiziellen Microsoft-Geräte-Autorisierungsseite einzugeben. Da die Interaktion auf einer echten Microsoft-Domain stattfindet, schlagen herkömmliche Sicherheitswarnungen nicht an. Sobald der Code eingegeben ist, erhält der Angreifer ein Zugriffstoken – und damit vollen Zugriff auf E-Mail-Postfach, OneDrive und Teams-Konten. Ein Passwort wird nicht mehr benötigt.

Spezialisierte Werkzeuge für den Massenangriff

Die Bedrohungslage verschärft sich durch das Aufkommen spezialisierter Phishing-Toolkits. Das von Cisco Talos identifizierte Toolkit ARToken ist mit dem EvilTokens-Ökosystem verbunden und bietet über 80 Funktionen zur Ausbeutung des Device Code Flow.

Damit können Angreifer nicht nur Microsoft-365-Zugriffstoken stehlen, sondern in manchen Fällen auch auf ein Primary Refresh Token upgraden – für langfristigen, unentdeckten Zugriff. Die Kampagnen zielen gezielt auf Branchen wie Finanzen, Personalwesen und Logistik. Besonders perfide: Die Angreifer setzen KI-generierte E-Mails ein, um die Erfolgsquote zu erhöhen.

Parallel dazu warnte das FBI vor einer Phishing-as-a-Service-Plattform namens Kali365. Seit April 2026 im Umlauf, zielt sie speziell auf Microsoft 365 ab und nutzt ebenfalls die Device-Code-Login-Methode, um OAuth-Tokens abzugreifen und MFA zu umgehen.

Anzeige

Wer den Device Code Flow nicht deaktiviert, riskiert den Zugriff auf E-Mail, OneDrive und Teams – bevor die nächste Kampagne zuschlägt. Dieser Report zeigt die drei kritischen Schritte: Deaktivierung, Überwachung und Schulung. Jetzt kostenlosen Sicherheits-Report anfordern

Das Problem mit den Passkeys

Die zunehmenden Angriffe fallen in eine Zeit, in der selbst moderne Authentifizierungsmethoden noch Schwächen zeigen. Der Passkey Benchmark 2026 offenbart deutliche Unterschiede: Während die Erfolgsrate beim ersten Login mit Passkeys auf iOS-Geräten zwischen 85 und 95 Prozent liegt, erreicht Windows gerade einmal 45 bis 60 Prozent.

Analysten führen dies auf mehrere Faktoren zurück: häufige QR-Code-Umwege bei der geräteübergreifenden Authentifizierung und eine fragmentierte Desktop-Oberfläche. Die Folge: Unternehmen und Nutzer greifen mangels reibungsloser Alternativen auf ältere, anfälligere Login-Verfahren zurück – genau jene, die Angreifer jetzt ausnutzen.

Was Unternehmen jetzt tun müssen

Die Sicherheitsexperten sind sich einig: Unternehmen müssen den Device Code Flow in Entra ID deaktivieren, wenn er nicht zwingend für Geschäftsabläufe benötigt wird. Lässt sich die Funktion nicht vermeiden, ist die Überwachung auf „DeviceCodeSignIn"-Ereignisse unerlässlich.

Anzeige

ARToken bietet über 80 Funktionen zur Ausbeutung des Device Code Flow – und das FBI warnt vor Kali365. Unternehmen, die ihre MFA-Umgehung nicht schließen, müssen mit langfristigem, unentdecktem Zugriff rechnen. Der Report liefert die 5 wichtigsten Entra-ID-Überwachungsregeln. 5 Entra-ID-Überwachungsregeln jetzt sichern

Mindestens genauso wichtig: Mitarbeiterschulungen. Niemand sollte unerwartete Gerätecode-Anfragen bestätigen – selbst wenn sie scheinbar von einer legitimen Microsoft-Domain stammen.

Zur weiteren Absicherung haben Firmen wie Senserva erweiterte Sicherheits-Checksuiten eingeführt. Diese bieten hunderte spezialisierte Prüfungen über Microsoft-365-Domänen hinweg – von App-Registrierungen über Conditional-Access-Richtlinien bis hin zu KI-bezogenen Konfigurationen. Denn eines ist klar: Die Angreifer schlafen nicht – und die Abwehr muss mit ihnen Schritt halten.

de | wissenschaft | 69706709 |