Microsoft 365: Hacker nutzen eigene Infrastruktur für Angriffe
21.06.2026 - 03:42:19 | boerse-global.de
Interne Systeme als Waffe
Kriminelle haben einen Weg gefunden, Microsofts hauseigene E-Mail-Systeme für ihre Zwecke zu missbrauchen. Sie registrieren sich als Neukunden und versenden dann täuschend echte Sicherheitswarnungen von legitimen Microsoft-Domains. Die Nachrichten enthalten manipulierte Links, die Zugangsdaten und vertrauliche Informationen abgreifen sollen.
Anzeige: Hacker nutzen Microsofts eigene Infrastruktur – und Ihre Mitarbeiter vertrauen Teams blind. Der aktuelle Leitfaden zeigt, wie Sie Email-Bombing erkennen, Teams-Phishing abwehren und die ungepatchten Exchange-Lücken schließen. Sicherheits-Leitfaden jetzt anfordern
Besonders brisant: Microsoft hat die zugrundeliegende Schwachstelle bislang nicht vollständig behoben. Experten warnen vor möglichen Datendiebstählen, die auch Kryptowährungen und andere hochwertige Vermögenswerte betreffen könnten.
Teams als Einfallstor für Erpresser
Die Ransomware-Gruppe DragonForce hat ihre Taktik grundlegend geändert. Die Angreifer überschwemmen zunächst die E-Mail-Postfächer ihrer Opfer mit hunderten Nachrichten – eine Technik namens „Email-Bombing“. Anschließend melden sie sich über Microsoft Teams als angeblicher IT-Support und bieten Hilfe an. Das Ziel: Mitarbeiter zur Installation von Fernzugriffs-Tools zu bewegen.
Betroffen sind vor allem Kliniken, Produktionsbetriebe, Finanzdienstleister und Rüstungsunternehmen. Die Täter setzen gezielt auf das Vertrauen, das Beschäftigte in die hauseigene Kollaborationsplattform haben.
Parallel dazu läuft die Phishing-Kampagne „EvilTokens“. Sie hat bereits mehr als 340 Organisationen ins Visier genommen. Die Angreifer nutzen Microsofts Gerätecode-Login aus, um Passwörter komplett zu umgehen. Einmal autorisiert, übernehmen sie vollständig die Kontrolle über die betroffenen Accounts.
KI-Assistent mit Sicherheitslücke
Im Juni entdeckten Forscher von Varonis eine kritische Schwachstelle im KI-Dienst Microsoft 365 Copilot. Der Fehler mit der Kennung CVE-2026-42824 erlaubte Angreifern, interne Dateien und sogar Zwei-Faktor-Authentifizierungscodes abzugreifen. Microsoft stufte das Problem trotz eines mittleren CVSS-Scores von 6,5 als maximal kritisch ein – weil es die Datenverlust-Prävention komplett aushebeln konnte.
Der Konzern schloss die Lücke zwar am 4. Juni. Doch die öffentlich gewordenen Details zeigen, wie anfällig KI-Systeme für manipulierte Anfragen sind.
Ein weiteres Problem: Die Spoofing-Schwachstelle CVE-2026-42897 in den lokalen Exchange-Servern der Versionen 2016 und 2019 ist weiterhin ungepatcht. Ein einziger präparierter E-Mail-Anhang genügt, um beliebigen JavaScript-Code auszuführen. Microsoft vertraut bislang auf seinen Notfall-Dienst zur Risikominderung.
Staatliche Hacker im Anmarsch
Auch staatlich gesteuerte Gruppen haben Microsoft im Fokus. Iran-verbundene Akteure wie Peach Sandstorm und Gray Sandstorm führten Ende Juni drei Wellen von Passwort-Spraying-Angriffen auf Microsoft-365-Konten durch. Ziel waren Einrichtungen in den USA, Europa, Israel, Saudi-Arabien und den Vereinigten Arabischen Emiraten. Sicherheitsanalysten sehen einen Zusammenhang mit regionalen militärischen Aktionen – die gestohlenen Daten könnten der Schadensbewertung von Bombardierungen dienen.
Anzeige: Bis 2026 führt jede fünfte Datendiebstahl-Infektion zur Offenlegung von Unternehmens-Identitäten. Schützen Sie Ihre Microsoft-365-Umgebung mit konkreten Sofortmaßnahmen gegen die aktuellen Angriffswellen. Jetzt Identitätsschutz-Checkliste sichern
Die nordkoreanische Gruppe Sapphire Sleet wiederum kompromittierte das KI-Projekt Mastra. Über einen gekaperten Maintainer-Account verteilten die Angreifer schadhafte Updates auf mehr als 140 Pakete und stahlen API-Schlüssel sowie Krypto-Wallet-Zugänge.
Jede fünfte Infektion gefährdet Firmen-Identitäten
Das wahre Ausmaß der Bedrohung zeigt eine Analyse von Flare Research. Das Unternehmen untersuchte über zwei Millionen Datendiebstahl-Logs aus dem vergangenen Jahr. Das Ergebnis: In 79 Prozent der Fälle tauchten Microsoft-Entra-ID-Zugangsdaten auf. Branchenexperten rechnen damit, dass bis zum dritten Quartal 2026 bereits jede fünfte Infektion mit Datendiebstahl zur Offenlegung von Unternehmens-Identitäten führen wird.
