Microsoft-Ökosystem im Visier: Wellen von Phishing-Angriffen erschüttern Unternehmen

Sicherheitsforscher und Behörden schlagen Alarm: Eine Serie hochentwickelter Phishing-Kampagnen zielt derzeit auf das Microsoft-Ökosystem ab. Die Angreifer nutzen dabei legitime Microsoft-E-Mail-Adressen und ausgeklügelte „Phishing-as-a-Service"-Kits, um traditionelle Sicherheitsmaßnahmen zu umgehen.

Missbrauch offizieller Microsoft-Infrastruktur

Seit Monaten kapern Angreifer eine offizielle Microsoft-E-Mail-Adresse für ihre Zwecke. Die Adresse msonlineservicesteam@microsoftonline.com stammt aus dem vertrauenswürdigen Microsoft-Domänenbereich und wird normalerweise für Benachrichtigungen genutzt. Die betrügerischen Nachrichten sind von echten Microsoft-Mails kaum zu unterscheiden.

Die aktuelle Welle von Phishing-Angriffen zeigt, wie perfide Hacker psychologische Tricks und gefälschte Identitäten nutzen, um Unternehmen zu schaden. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie, wie Sie solche Manipulationsversuche rechtzeitig entlarven. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Das Spamhaus-Projekt dokumentiert diese Aktivitäten seit mehreren Monaten. Die Mails enthalten Links zu gefälschten Websites, die Nutzerdaten abgreifen sollen. Microsoft selbst hat die Anfragen zwar bestätigt, aber noch keine Stellungnahme zum genauen Mechanismus des Missbrauchs abgegeben.

Der Trick ist perfide: Weil die E-Mails von einer echten @microsoftonline.com-Adresse kommen, umgehen sie mühelos Standardfilter, die auf Domänen-Reputation oder SPF/DKIM-Prüfungen setzen. Die Angreifer nutzen gezielt das Vertrauen der Nutzer in offizielle Service-Nachrichten aus.

Parallel dazu läuft eine großangelegte Phishing-Kampagne gegen US-Behörden, Gesundheitswesen und Bildungseinrichtungen. Die Sicherheitsfirma ANY.RUN identifizierte rund 160 schädliche Links und 80 Phishing-Domains – viele davon mit der Endung .de. Die Angreifer locken ihre Opfer mit gefälschten Veranstaltungseinladungen auf Seiten, die nicht nur Zugangsdaten stehlen, sondern auch Einmalpasswörter abfangen und Schadsoftware installieren.

Die neue Gefahr: Device-Code-Phishing und PhaaS-Kits

Das australische Cyber-Sicherheitszentrum (ASD) warnt Microsoft-365-Nutzer vor einer wachsenden Bedrohung: dem sogenannten Device-Code-Phishing. Diese Technik nutzt den „Device Code Flow" aus – ein Authentifizierungsverfahren, das ursprünglich für Geräte mit eingeschränkter Eingabe wie Smart-TVs oder IoT-Hardware entwickelt wurde.

So funktioniert der Angriff: Hacker generieren einen legitimen Code und bringen das Opfer dazu, diesen auf einer echten Microsoft-Anmeldeseite einzugeben. Sobald der Nutzer sich authentifiziert, erhalten die Angreifer ein Sitzungstoken – und umgehen damit die Zwei-Faktor-Authentifizierung, ohne jemals das Passwort zu benötigen.

Proofpoint-Daten zeigen einen starken Anstieg dieser „EvilTokens" und anderer PhaaS-Kits wie dem Tycoon-Toolkit seit Ende 2025. Ein bestimmter Akteur, bekannt als TA4903, setzt seit März 2026 fast ausschließlich auf diese Methode. Die Kits ermöglichen selbst wenig erfahrenen Cyberkriminellen, auf Knopfdruck Codes zu generieren und gekaperte Sitzungen über benutzerfreundliche Dashboards zu verwalten.

Sicherheitsexperten empfehlen Unternehmen, den Device-Code-Flow über bedingte Zugriffsrichtlinien einzuschränken. Konkret heißt das: Nur bestimmte Geräte zulassen oder den Flow ganz blockieren, wenn Mitarbeiter ihn für ihre Arbeit nicht benötigen.

Lieferketten-Angriffe: GitHub und npm-Pakete kompromittiert

Die Bedrohungslage geht weit über direkte Phishing-Angriffe hinaus. Mitte Mai 2026 deckte GitHub – eine Microsoft-Tochter – auf, dass Angreifer ein Mitarbeiter-Gerät kompromittiert hatten. Der Einbruch erfolgte über eine manipulierte Visual-Studio-Code-Erweiterung. Die Folge: Rund 3.800 interne Repositories wurden abgezogen. Zwar blieben Kundendaten laut GitHub unberührt, doch das Unternehmen musste eine Vielzahl kritischer Geheimnisse austauschen, um weiteren Schaden zu verhindern.

Ein weiterer schwerwiegender Vorfall traf die npm-Pakete @antv. Ein kompromittiertes Maintainer-Konto wurde genutzt, um bösartige Versionen der Bibliotheken G2 und G6 zu veröffentlichen. Die Schadsoftware – rund 499 Kilobyte groß – zielte auf Zugangsdaten für AWS, GitHub, 1Password und Kubernetes ab. Sie durchsuchte auch den Arbeitsspeicher und versuchte, Berechtigungen auszuweiten. GitHub entfernte daraufhin 640 Pakete und machte mehr als 61.000 Tokens ungültig.

Diese Vorfälle sind Teil eines besorgniserregenden Trends: Hacker-Gruppen verseuchen inzwischen wöchentlich hunderte Open-Source-Tools. Das untergräbt das Fundament des gesamten Software-Entwicklungs-Ökosystems.

Microsofts Antwort: Hardware-gebundene Authentifizierung

Microsoft reagiert auf die anhaltenden Sicherheitslücken mit einem radikalen Kurswechsel. Das Unternehmen kündigte an, die SMS-basierte Authentifizierung schrittweise abzuschaffen – zugunsten von FIDO2-konformen Passkeys. Der Grund: SIM-Swapping und Social-Engineering-Angriffe machen SMS-Codes zunehmend unsicher. Passkeys hingegen nutzen biometrische Daten oder PINs, die lokal auf dem Gerät gespeichert sind. Sie sind resistent gegen Phishing, weil sie nicht geteilt oder auf anderen Domänen wiederverwendet werden können.

Auf der Softwareseite hat Microsoft Patches für zwei aktiv ausgenutzte Zero-Day-Lücken in Microsoft Defender veröffentlicht. Die Schwachstellen CVE-2026-41091 und CVE-2026-45498 ermöglichten Angreifern, ihre Berechtigungen auf SYSTEM-Ebene auszuweiten beziehungsweise Denial-of-Service-Angriffe durchzuführen. Die US-Behörde CISA verlangt, dass Unternehmen diese Fixes bis zum 3. Juni 2026 einspielen.

Auch für die BitLocker-Umgehung „YellowKey" (CVE-2026-45585) gibt es erste Gegenmaßnahmen. Der Exploit nutzt die Windows-Wiederherstellungsumgebung und ermöglicht Angreifern mit physischem Zugang und einem USB-Stick, die Verschlüsselung zu umgehen. Microsoft hat erste Korrekturen bereitgestellt – doch einige Forscher warnen, dass der Angriff selbst auf Systemen mit TPM- und PIN-Konfiguration noch möglich sein könnte.

Wirtschaftliche Dimension: Milliardenverluste durch Datenpannen

Die Welle hochentwickelter Phishing-Angriffe schlägt sich in den Zahlen nieder. Eine Mastercard-Studie aus dem Jahr 2025 ergab, dass 46 Prozent der kleinen und mittleren Unternehmen bereits von einem Cyberangriff betroffen waren. Die finanziellen Folgen sind enorm: IBM beziffert die durchschnittlichen Kosten einer Datenpanne auf 4,4 Millionen US-Dollar (umgerechnet rund 4,1 Millionen Euro).

Angesichts von Millionen gehackter Konten und hochentwickelten Angriffsmethoden wird der herkömmliche Passwort-Schutz zur riskanten Sicherheitslücke. Dieser kostenlose PDF-Ratgeber zeigt, wie Sie mit der Passkey-Technologie Ihre Konten bei Microsoft und Co. endlich unknackbar machen. Sicher und passwortlos: Jetzt kostenlosen Passkey-Report sichern

Trotz technischer Fortschritte bleibt der Mensch das schwächste Glied. 60 Prozent aller Sicherheitsvorfälle gehen auf menschliche Fehler zurück.

Besonders hart trifft es den Finanzsektor. Visa meldet einen Anstieg KI-gesteuerter Betrugsfälle um 47 Prozent im Jahr 2025. 41 Prozent aller Ransomware-Familien enthalten inzwischen KI-Komponenten, um ihre Effektivität zu steigern oder der Erkennung zu entgehen. Allein in Singapur registrierten die Behörden seit Jahresbeginn 2026 66 Fälle von Business-E-Mail-Compromise (BEC) mit einem Gesamtschaden von mindestens 19 Millionen US-Dollar (rund 17,7 Millionen Euro). Bei diesen Angriffen geben sich Täter als Kollegen oder Lieferanten aus, um Zahlungen auf betrügerische Konten umzuleiten.

Ausblick: Zero Trust als neues Paradigma

Die traditionelle Sicherheitsarchitektur, die auf Grenzen und Vertrauen setzt, ist überholt. Angreifer nutzen zunehmend legitime Dienste und automatisierte Werkzeuge – der Perimeter löst sich auf. Der Umstieg auf Passkeys und die Verschärfung bedingter Zugriffsrichtlinien sind die logische Konsequenz.

Behörden wie die US-Handelskommission FTC drängen Unternehmen zu formellen Datensicherheitsplänen. Dazu gehören Bestandsverwaltung, Datenminimierung und robuste Reaktionsprotokolle.

Ein besonderes Ärgernis bleiben ungepatchte Schwachstellen. Ein seit Jahren bekanntes Problem in der Chromium-Browser-Fetch-API ermöglicht die Erstellung von Botnetzen ohne Nutzerinteraktion. Obwohl bereits 2022 als prioritär eingestuft, blieben einige Versionen dieser Lücke bis zu 42 Monate ungepatcht – mit Auswirkungen auf Chrome, Edge und Brave.

Für den Rest des Jahres 2026 zeichnet sich ab: Sicherheitsverantwortliche werden sich auf die Absicherung der Software-Lieferkette und die Härtung des Sitzungsmanagements konzentrieren müssen. Der Erfolg dieser Bemühungen hängt davon ab, wie schnell Unternehmen von veralteten Authentifizierungsmethoden auf „Zero-Trust"-Architekturen umstellen – Systeme, die weder internen Konten noch legitim aussehender Kommunikation blind vertrauen.

de | wissenschaft | 69392790 |