Microsoft 365: Hacker-Kits umgehen MFA – FBI warnt vor PhaaS
16.06.2026 - 16:16:01 | boerse-global.de
Kriminelle nutzen spezielle Angriffs-Kits, um den Zwei-Faktor-Schutz zu umgehen. Besonders betroffen sind Unternehmen und Behörden.
Das FBI hat eine dringende Warnung vor einer neuen Generation von Phishing-Angriffen auf Microsoft-365-Nutzer herausgegeben. Die Täter setzen dabei auf sogenannte Phishing-as-a-Service-Kits (PhaaS) , die selbst die Zwei-Faktor-Authentifizierung (MFA) aushebeln können. Im Visier stehen vor allem Unternehmen aus dem Gesundheitswesen, der Finanzbranche, dem Staatssektor und der Industrie.
Kali365 und EvilTokens: Die Werkzeuge der Hacker
Anzeige: Wer die neue Generation von PhaaS-Angriffen auf Microsoft 365 abwehren will, findet in diesem Report die wichtigsten Schutzmaßnahmen – von der Blockade des Device-Code-Flows bis zur Erkennung von Beaconing-Aktivitäten. Jetzt kostenlosen Sicherheits-Report anfordern
Zwei dieser Kits bereiten den Ermittlern derzeit besondere Kopfschmerzen: Kali365 und EvilTokens. Kali365 wird seit April 2026 über den Messengerdienst Telegram vertrieben. Das Abo-Modell beginnt bei umgerechnet rund 230 Euro für 30 Tage. Die Sicherheitsforschung hat bereits mehr als 2.300 Phishing-Domains in 18 Ländern mit diesem Kit in Verbindung gebracht.
EvilTokens ist sogar noch älter. Bereits im Februar 2026 registrierten Experten erste Aktivitäten. Im März traf eine Kampagne mit diesem Kit mehr als 340 Organisationen. Beide Werkzeuge funktionieren nach einem ähnlichen Prinzip: Statt Passwörter zu stehlen, kapern sie die Authentifizierungs-Tokens. Damit erhalten die Angreifer vollen Zugriff auf Outlook, Teams und OneDrive – und das dauerhaft.
Wie der Angriff funktioniert
Die Masche ist raffiniert. Opfer erhalten eine Phishing-Mail, die oft als Rechnung eines Lieferanten oder als Geschäftsdokument getarnt ist. Im Anhang oder per Link gelangen sie auf eine täuschend echte Landingpage. Dort wird ein Verifizierungscode angezeigt – mit der Aufforderung, diesen auf der offiziellen Microsoft-Geräte-Autorisierungsseite einzugeben.
Der entscheidende Trick: Weil der Nutzer den Code auf einer echten Microsoft-Seite eingibt, umgeht der Angriff die üblichen Sicherheitsfilter und selbst die MFA-Abfrage. Im Hintergrund wird das Gerät des Hackers autorisiert. Der Angreifer hat nun Vollzugriff auf das Konto.
Die Sicherheitsanalysten warnen: Die Landingpages nutzen zunehmend versteckte Unicode-Zeichen, um automatisierte Scanner auszutricksen. Rund 72 Prozent dieser Attacken bleiben von Standard-Sicherheitsprotokollen unentdeckt.
Sicherheitslücke in Microsoft 365 Copilot geschlossen
Parallel zu diesen aktiven Kampagnen hat Microsoft eine kritische Sicherheitslücke in Microsoft 365 Copilot Enterprise geschlossen. Die Schwachstelle mit dem Namen "SearchLeak" (CVE-2026-42824) wurde von Varonis Threat Labs entdeckt. Sie hätte es Angreifern ermöglicht, mit nur einem Klick sensible Daten abzugreifen.
Die Angriffskette kombinierte eine Parameter-zu-Prompt-Injection mit einer Race-Condition bei der HTML-Darstellung und einem Server-Side-Request-Forgery-Angriff über Bing. Potenziell betroffen waren E-Mails, Besprechungsnotizen und sogar MFA-Codes. Microsoft hat den Fehler inzwischen behoben. Bislang gibt es keine Hinweise auf eine aktive Ausnutzung der Lücke.
So schützen sich Unternehmen
Anzeige: Die SearchLeak-Lücke in Microsoft 365 Copilot zeigt: Selbst KI-Assistenten können zum Einfallstor werden. Dieser Report liefert eine Sicherheits-Checkliste für Ihre gesamte Microsoft-365-Umgebung – inklusive Indikatoren für unentdeckte Token-Diebstähle. Sicherheits-Checkliste jetzt sichern
Das FBI und Microsoft empfehlen betroffenen Organisationen folgende Maßnahmen:
- Richtlinien anpassen: Conditional-Access-Richtlinien sollten den Device-Code-Flow für alle Nutzer blockieren, die ihn nicht zwingend benötigen.
- Überwachung verschärfen: Anmelde-Logs sollten regelmäßig auf ungewöhnliche Geräteregistrierungen geprüft werden. Auffällig sind oft "Beaconing"-Aktivitäten im Vier-Sekunden-Takt.
- MFA modernisieren: Wo möglich, sollte auf phishing-resistente Authentifizierungsmethoden umgestellt werden.
- Vorfälle melden: Betroffene Organisationen werden gebeten, eine Meldung beim IC3 des FBI einzureichen.
Die wichtigste Regel für jeden Nutzer: Nie einen Gerätecode eingeben, den man nicht selbst angefordert hat – selbst wenn die Login-Seite vertrauenswürdig aussieht.
