Microsoft, OAuth-Lücke

Microsoft OAuth-Lücke: Hacker kapern Konten trotz MFA-Schutz

12.06.2026 - 19:55:12 | boerse-global.de

Kriminelle nutzen den OAuth-Gerätecode-Fluss, um Microsoft-365-Konten zu kapern. Selbst nach Passwortänderung bleibt der Zugriff bestehen.

Microsoft-365-Konten: Neue Phishing-Welle umgeht MFA-Schutz
Microsoft - A glowing green data stream flows from a laptop to a padlock icon in a dimly lit server room, symbolizing a security breach. 12.06.2026 - Bild: über boerse-global.de

Selbst wer sein Passwort ändert, ist nicht sicher.

Sicherheitsforscher schlagen Alarm: Eine neue Generation von Phishing-Kampagnen setzt auf eine raffinierte Methode, um den Zwei-Faktor-Schutz (MFA) von Microsoft-365-Konten auszuhebeln. Die Angreifer nutzen dabei den sogenannten OAuth-2.0-Geräteautorisierungs-Fluss – ein Feature, das Microsoft eigentlich für Geräte ohne Tastatur wie Smart-TVs oder Drucker entwickelt hat.

Anzeige

Phishing-Angriffe werden immer raffinierter und hebelt mittlerweile sogar klassische Sicherheitsvorkehrungen wie die Zwei-Faktor-Authentisierung aus. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie die psychologischen Tricks der Hacker entlarven und Ihr Unternehmen in vier Schritten effektiv schützen. Kostenlosen Leitfaden zur Hacker-Abwehr jetzt herunterladen

Wie die Angreifer vorgehen

Die Opfer erhalten geschäftlich getarnte E-Mails mit HTML-Anhängen oder Links. Diese führen auf die offizielle Microsoft-Anmeldeseite (aka.ms/devicelogin). Dort geben die Nutzer einen Code ein, der zuvor vom Angreifer generiert wurde. Das vermeintlich harmlose „Anmelden" gewährt dem Hacker jedoch vollen Zugriff auf das Konto – ohne dass ein Passwort gestohlen werden muss.

Das Tückische: Selbst wer später sein Passwort ändert oder die MFA-Einstellungen aktualisiert, bleibt verwundbar. Die Autorisierung des fremden Geräts bleibt bestehen. ReversingLabs beobachtete aktive Kampagnen noch am 12. Juni 2026. Die Angriffs-Kits senden dabei alle vier Sekunden einen neuen Gerätecode an den Phishing-Host, um die Verbindung aufrechtzuerhalten.

Phishing-as-a-Service: Ein Milliardengeschäft

Die Angriffsmethode hat sich professionalisiert. Sicherheitsforscher von Push Security verzeichnen einen Anstieg um das 37,5-Fache bei Phishing-Seiten für Geräte-Codes innerhalb des letzten Jahres. Im Umlauf sind inzwischen mehrere kommerzielle Kits wie EvilTokens, Ghost Hub, Cyb3r, Tycoon2FA und das Kali365-Ökosystem.

Besonders Kali365 macht von sich reden. Huntress entdeckte das Kit im April 2026. Die Aktivität nahm Mitte Mai massiv zu – mit Anmeldeversuchen von Tencent-Cloud-IP-Adressen ab dem 18. Mai. Der Höhepunkt folgte am 20. Mai 2026, als über 80 erfolgreiche Logins registriert wurden. Die Plattform ist hochindustrialisiert: über 100 API-Schnittstellen, ein eigener Domain-Marktplatz und rollenbasierte Zugriffskontrollen für Abonnenten.

Anzeige

Da herkömmliche Passwörter und einfache MFA-Verfahren zunehmend zum Sicherheitsrisiko werden, setzen Experten verstärkt auf modernere Technologien. Dieser kostenlose Report zeigt Ihnen, wie Sie mit Passkeys eine sicherere, passwortlose Alternative bei Microsoft und anderen Diensten einrichten, um Hackern keine Chance mehr zu lassen. Gratis-Report: Sicher und passwortlos mit Passkeys

KI macht Phishing noch gefährlicher

Moderne Kits setzen auf ausgefeilte Tarnung. ReversingLabs entdeckte unsichtbare Unicode-Zeichen in den Köder-Mails sowie manipulierte Entra-ID-Token (EvoStsArtifacts), die bösartige Absichten verschleiern sollen.

Kaspersky identifizierte zudem eine Kampagne, die die Tencent-EdgeOne-Pages-Plattform missbrauchte. Innerhalb von 30 Tagen bis Anfang Juni verschickten die Angreifer über 8.000 Phishing-Mails, die auf Firmenzugangsdaten zielten. Einige Kits wie Kali365 bewerben inzwischen KI-gestützte Funktionen für Business-E-Mail-Kompromittierung (BEC). Die künstliche Intelligenz hilft dabei, überzeugendere Nachrichten zu verfassen und automatisiert mit Opfern zu interagieren.

Was Unternehmen jetzt tun müssen

Das FBI und zahlreiche Sicherheitsforscher warnen: Herkömmliche MFA ist kein Allheilmittel mehr gegen diese Form des Token-Diebstahls. Experten empfehlen daher drastische Maßnahmen:

  • Device Code Flow blockieren, wenn die Funktion nicht zwingend benötigt wird
  • Conditional-Access-Richtlinien einführen, um die Nutzung einzuschränken
  • FIDO2-Hardware-Sicherheitsschlüssel einsetzen
  • Token-Lebensdauer verkürzen
  • Automatisierte Verhaltensanalyse nutzen, um ungewöhnliche Anmelde-Muster zu erkennen

Die Bedrohungslage zeigt: Was als Komfort-Funktion gedacht war, ist zum Einfallstor geworden. Unternehmen sollten ihre Sicherheitsstrategie dringend überdenken.

de | wissenschaft | 69529525 |