Microsoft 365: ARToken-Toolkit mit 80 Funktionen hebelt MFA aus
Veröffentlicht: 06.07.2026 um 17:21 Uhr, Redaktion boerse-global.de
Sicherheitsforscher schlagen Alarm: Eine Serie raffinierter Phishing-Angriffe zielt direkt auf die Authentifizierungsmechanismen von Microsoft 365 ab. Die Angreifer nutzen dabei eine legitime Funktion – den sogenannten Device Code Flow – um die mehrstufige Authentifizierung (MFA) auszuhebeln und sich ungehinderten Zugriff auf Unternehmenskonten zu verschaffen.
Wie die Angreifer vorgehen
Die Taktik ist ebenso einfach wie effektiv. Zwischen April und Mai 2026 dokumentierten Forscher von Kaspersky eine groß angelegte Kampagne, bei der Angestellte zunächst eine E-Mail mit einem passwortgeschützten PDF erhielten. Darin versteckt: ein Link zu einer Phishing-Seite, die sich als vertrauenswürdiger Dienst wie LawConnect tarnt oder über Plattformen wie Cacoo.com umleitet.
Der entscheidende Trick: Das Opfer erhält einen einmaligen Code und wird aufgefordert, diesen auf der offiziellen Microsoft-Geräte-Autorisierungsseite einzugeben. Da die Interaktion auf einer echten Microsoft-Domain stattfindet, schlagen herkömmliche Sicherheitswarnungen nicht an. Sobald der Code eingegeben ist, erhält der Angreifer ein Zugriffstoken – und damit vollen Zugriff auf E-Mail-Postfach, OneDrive und Teams-Konten. Ein Passwort wird nicht mehr benötigt.
Spezialisierte Werkzeuge für den Massenangriff
Die Bedrohungslage verschärft sich durch das Aufkommen spezialisierter Phishing-Toolkits. Das von Cisco Talos identifizierte Toolkit ARToken ist mit dem EvilTokens-Ökosystem verbunden und bietet über 80 Funktionen zur Ausbeutung des Device Code Flow.
Damit können Angreifer nicht nur Microsoft-365-Zugriffstoken stehlen, sondern in manchen Fällen auch auf ein Primary Refresh Token upgraden – für langfristigen, unentdeckten Zugriff. Die Kampagnen zielen gezielt auf Branchen wie Finanzen, Personalwesen und Logistik. Besonders perfide: Die Angreifer setzen KI-generierte E-Mails ein, um die Erfolgsquote zu erhöhen.
Parallel dazu warnte das FBI vor einer Phishing-as-a-Service-Plattform namens Kali365. Seit April 2026 im Umlauf, zielt sie speziell auf Microsoft 365 ab und nutzt ebenfalls die Device-Code-Login-Methode, um OAuth-Tokens abzugreifen und MFA zu umgehen.
Wer den Device Code Flow nicht deaktiviert, riskiert den Zugriff auf E-Mail, OneDrive und Teams – bevor die nächste Kampagne zuschlägt. Dieser Report zeigt die drei kritischen Schritte: Deaktivierung, Überwachung und Schulung. Jetzt kostenlosen Sicherheits-Report anfordern
Das Problem mit den Passkeys
Die zunehmenden Angriffe fallen in eine Zeit, in der selbst moderne Authentifizierungsmethoden noch Schwächen zeigen. Der Passkey Benchmark 2026 offenbart deutliche Unterschiede: Während die Erfolgsrate beim ersten Login mit Passkeys auf iOS-Geräten zwischen 85 und 95 Prozent liegt, erreicht Windows gerade einmal 45 bis 60 Prozent.
Analysten führen dies auf mehrere Faktoren zurück: häufige QR-Code-Umwege bei der geräteübergreifenden Authentifizierung und eine fragmentierte Desktop-Oberfläche. Die Folge: Unternehmen und Nutzer greifen mangels reibungsloser Alternativen auf ältere, anfälligere Login-Verfahren zurück – genau jene, die Angreifer jetzt ausnutzen.
Was Unternehmen jetzt tun müssen
Die Sicherheitsexperten sind sich einig: Unternehmen müssen den Device Code Flow in Entra ID deaktivieren, wenn er nicht zwingend für Geschäftsabläufe benötigt wird. Lässt sich die Funktion nicht vermeiden, ist die Überwachung auf „DeviceCodeSignIn"-Ereignisse unerlässlich.
ARToken bietet über 80 Funktionen zur Ausbeutung des Device Code Flow – und das FBI warnt vor Kali365. Unternehmen, die ihre MFA-Umgehung nicht schließen, müssen mit langfristigem, unentdecktem Zugriff rechnen. Der Report liefert die 5 wichtigsten Entra-ID-Überwachungsregeln. 5 Entra-ID-Überwachungsregeln jetzt sichern
Mindestens genauso wichtig: Mitarbeiterschulungen. Niemand sollte unerwartete Gerätecode-Anfragen bestätigen – selbst wenn sie scheinbar von einer legitimen Microsoft-Domain stammen.
Zur weiteren Absicherung haben Firmen wie Senserva erweiterte Sicherheits-Checksuiten eingeführt. Diese bieten hunderte spezialisierte Prüfungen über Microsoft-365-Domänen hinweg – von App-Registrierungen über Conditional-Access-Richtlinien bis hin zu KI-bezogenen Konfigurationen. Denn eines ist klar: Die Angreifer schlafen nicht – und die Abwehr muss mit ihnen Schritt halten.
