Microsoft, Device-Code-Attacken

Microsoft 365: Device-Code-Attacken umgehen MFA in 42 Sekunden

17.06.2026 - 15:35:31 | boerse-global.de

Device-Code-Flow-Angriffe auf Microsoft 365 umgehen Zwei-Faktor-Schutz. Schäden von 1,8 Milliarden Euro in 2026.

Neue Phishing-Welle umgeht MFA bei Microsoft 365
Microsoft - A shadowy hand bypasses a glowing digital lock, symbolizing phishing attacks circumventing multi-factor authentication and passkeys. 17.06.2026 - Bild: über boerse-global.de

Im Visier: Microsoft-365-Nutzer weltweit.

Angriff auf die Device-Code-Funktion

Sicherheitsforscher von ReversingLabs haben eine aktuelle Phishing-Kampagne identifiziert, die gezielt den sogenannten Device Code Flow von Microsoft 365 ausnutzt. Dieses Verfahren wurde eigentlich für Geräte ohne Tastatur entwickelt – etwa Smart-TVs oder Drucker. Die Angreifer nutzen es nun als Einfallstor.

Anzeige: Die neue Phishing-Welle umgeht MFA in 42 Sekunden – über den Device-Code-Flow. Wer seine Microsoft-365-Umgebung schützen will, findet in diesem Report die entscheidenden Hebel: Blockade des Device-Code-Flows, YARA-Regeln und OAuth-Audit. Jetzt kostenlosen Schutz-Report anfordern

Der Ablauf ist perfide: Das Opfer erhält eine Phishing-Nachricht und wird aufgefordert, einen Code auf einer legitimen Microsoft-Seite einzugeben. Was der Nutzer nicht weiß: Damit autorisiert er unbewusst das Gerät des Angreifers. Der erhält daraufhin ein Zugriffstoken – und die Zwei-Faktor-Authentifizierung (MFA) wird komplett umgangen, weil das Opfer die Bestätigung auf dem eigenen, vertrauenswürdigen Gerät durchführt.

Die Folgen sind gravierend: Angreifer können E-Mails lesen, auf Dateien zugreifen und bleiben selbst dann im System, wenn das Opfer sein Passwort ändert. Die verwendeten Phishing-Kits nutzen unsichtbare Unicode-Zeichen, um Signatur-basierte Erkennungssysteme zu umgehen. Erkennbar sind sie nur an einem regelmäßigen Signal – einem POST-Request alle vier Sekunden.

Phishing als Dienstleistung

Die technische Raffinesse dieser Angriffe wird durch sogenannte Phishing-as-a-Service-Plattformen (PhaaS) weiter befeuert. Erst am heutigen Mittwoch enthüllten Forscher von CloudSEK die Plattform BlueKit, die 87 verschiedene Phishing-Kits für Banken, Cloud-Dienste und Kryptoplattformen anbietet. Das Modell: Abonnement-basiert, inklusive Telegram-Benachrichtigungen und Anti-Detect-Browsern.

Bereits im April 2026 warnte das FBI vor der Plattform Kali365 – für umgerechnet rund 230 Euro im Monat. Nach ersten Ermittlungen im Mai tauchte der Dienst kurz unter und kam als Octopus wieder hoch. Die Sicherheitsfirma Huntress analysierte die Werkzeuge: Ein vollständiger Account-Übernahme dauert demnach nur 42 Sekunden, sobald der Code eingegeben wurde.

Künstliche Intelligenz spielt eine wachsende Rolle. Einige Plattformen nutzen KI, um Phishing-Vorlagen und HTML-Code zu generieren. Andere setzen auf automatisierte Systeme, die Zahlungsanweisungen erstellen oder MFA-Benachrichtigungen aus den Konten der Opfer löschen.

Bedrohungslage verschärft sich

Der Trend zu diesen hochentwickelten Angriffsmethoden kommt nicht aus dem Nichts. Zwar ist die Gesamtzahl der Phishing-Versuche in den Jahren 2024 und 2025 um rund 20 Prozent gesunken – doch die Qualität der einzelnen Attacken hat massiv zugenommen. Rund 95,2 Prozent aller aktuellen Phishing-Versuche werden über verschlüsselten Datenverkehr ausgeliefert. Ein erheblicher Teil der neu entdeckten Schad-Webseiten ist inzwischen KI-generiert.

Microsoft reagierte am 16. Juni 2026 auf die Bedrohung und schloss die Sicherheitslücke CVE-2026-42824, auch bekannt als SearchLeak. Die Schwachstelle wurde genutzt, um unbefugten Zugriff zu ermöglichen.

Die wirtschaftlichen Schäden sind immens. Allein in der ersten Jahreshälfte 2026 verursachten verwandte Phishing-Wellen Schäden von schätzungsweise 1,8 Milliarden Euro. Attacken über den Device Code Flow haben sich seit Jahresbeginn ver37-facht. Bereits im März 2026 waren mehr als 340 Organisationen betroffen.

Was Unternehmen jetzt tun müssen

Anzeige: Phishing-as-a-Service für 230 Euro monatlich – damit steigt die Angriffsqualität massiv. 95,2 Prozent aller Phishing-Versuche laufen über verschlüsselten Traffic. Dieser Report zeigt, wie Sie KI-generierte Phishing-Seiten erkennen und Ihre Conditional-Access-Policies schärfen. Sofort-Maßnahmen-Report jetzt sichern

Cybersicherheitsbehörden und Forscher empfehlen einen mehrstufigen Schutz:

  • Conditional Access Policies einführen: Den Device Code Flow für alle Nutzer blockieren, die ihn nicht zwingend für ihre Arbeit benötigen.
  • Regelmäßige Audits der OAuth-Berechtigungen durchführen.
  • Anmelde-Logs auf ungewöhnliche Geräteregistrierungen überwachen.
  • YARA-Regeln implementieren und auf die charakteristischen Netzwerk-Signale achten – etwa die häufigen POST-Requests der aktuellen Phishing-Kits.

Wer den Verdacht hat, ins Visier geraten zu sein, sollte den Vorfall umgehend den nationalen Cybercrime-Zentren melden.

de | wissenschaft | 69563058 |