Microsoft Azure: Cyberkriminelle missbrauchen Cloud für Phishing

Cyberkriminelle nutzen Microsofts eigene Azure-Cloud gegen dessen Nutzer. Sicherheitsforscher entdeckten ausgeklügelte Phishing-Kampagnen, die sich Azures vertrauenswürdige Infrastruktur zunutze machen.

Die Betrüger erstellen täuschend echte Login-Seiten auf offiziellen Microsoft-Domains – komplett mit gültigen SSL-Zertifikaten. Das macht sie selbst für wachsame Nutzer kaum erkennbar und gefährdet Millionen von Microsoft 365-Kunden.

Diese Angriffe markieren einen bedeutsamen Wandel in der Phishing-Landschaft. Statt einfacher Fake-Domains missbrauchen die Täter nun die Cloud-Services selbst, denen Unternehmen vertrauen.

Azure-Speicher als Täuschungsmanöver

Das Herzstück dieser neuen Angriffsmethode liegt in ihrer perfiden Einfachheit. Die Kriminellen nutzen Microsoft Azure Blob Storage – einen legitimen Cloud-Speicherdienst – um HTML-Dateien zu hosten, die perfekt die Microsoft 365-Anmeldeseite nachahmen.

Der Angriff beginnt typischerweise mit einer Phishing-E-Mail, die einen PDF-Anhang enthält. Oft getarnt als gescanntes Dokument oder Rechnung. Klickt der Nutzer auf den Link im PDF, landet er nicht auf einer verdächtigen Domain, sondern auf einer URL mit blob.core.windows.net.

Da die Phishing-Seite auf einer echten Microsoft-Subdomain gehostet wird, zeigt der Browser ein gültiges SSL-Zertifikat mit dem vertrauten Schloss-Symbol an. Das verleitet Nutzer dazu, bedenkenlos ihre Anmeldedaten einzugeben.

Netskope, das diese Angriffe verfolgt hat, bezeichnet diese Methode als “idealen Weg”, Microsoft-Services anzugreifen, da sie geschickt gängige Sicherheitsprüfungen umgeht.

Manipulation der Microsoft 365-Infrastruktur

In fortgeschrittenen Versionen nutzen die Angreifer das Microsoft 365-Ökosystem selbst für ihre Attacken. Forscher der Sicherheitsfirma Guardz deckten Kampagnen auf, bei denen Kriminelle legitime Microsoft 365-Umgebungen kontrollieren – entweder durch Kompromittierung bestehender oder Erstellung neuer gefälschter Systeme.

Von dort aus manipulieren sie die Einstellungen und nutzen Microsofts eigene Server zum Versand ihrer Phishing-E-Mails. Da diese E-Mails von Microsoft-Servern stammen, passieren sie alle Authentifizierungsprüfungen wie SPF, DKIM und DMARC.

“Die Ausnutzung des inhärenten Vertrauens in Microsoft-Services macht diese Kampagnen für Sicherheitsteams deutlich schwerer zu erkennen”, erklärt Dor Eisner, CEO von Guardz.

Gefälschte OAuth-Apps umgehen Zwei-Faktor-Authentifizierung

Die raffinierteren Angreifer gehen über einfachen Datendiebstahl hinaus. Proofpoint identifizierte komplexe Kampagnen mit gefälschten Microsoft OAuth-Anwendungen, die selbst die Zwei-Faktor-Authentifizierung überwinden.

Bei diesen “Attacker-in-the-Middle”-Angriffen erhalten Nutzer eine Berechtigungsanfrage für eine scheinbar vertraute App wie DocuSign oder Adobe. Egal ob sie zustimmen oder ablehnen – sie landen auf einer gefälschten Microsoft-Anmeldeseite.

Diese erbeutet nicht nur die Anmeldedaten, sondern fängt auch die MFA-Session-Token ab. Das verschafft den Angreifern vollen Zugang zum Konto samt E-Mails und Dateien.

Proofpoint beobachtete über 3.000 Kompromittierungsversuche bei mehr als 900 Organisationen. Einmal drin, registrieren die Angreifer oft eigene MFA-Methoden für dauerhaften Zugang.

Vertrauen als Schwachstelle

Diese Entwicklung verdeutlicht eine grundlegende Herausforderung der modernen Cybersicherheit: die Ausnutzung von Vertrauen. Kriminelle imitieren nicht mehr nur vertrauenswürdige Marken – sie missbrauchen deren Infrastruktur aktiv, um authentisch zu wirken.

Der Einsatz legitimer Domains und gültiger SSL-Zertifikate macht die gängigsten Sicherheitsratschläge für Nutzer wirkungslos. Das zwingt Organisationen dazu, ihre Phishing-Abwehr zu überdenken.
Anzeige: Während Angreifer Vertrauen in bekannte Plattformen ausnutzen, gerät auch das Smartphone immer öfter ins Visier. Viele Android‑Nutzer übersehen 5 einfache Sicherheitsmaßnahmen, die WhatsApp, Online‑Banking & Co. zuverlässig schützen. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Android ohne teure Zusatz‑Apps absichern – inklusive Checklisten und wichtigen Einstellungen. Jetzt kostenloses Android‑Sicherheitspaket laden
Die Angriffe zeigen ein tiefes Verständnis von Cloud-Architektur und E-Mail-Authentifizierung. Durch die Nutzung legitimer Services stellen Angreifer sicher, dass ihre Köder mit höchster Authentizität zugestellt werden – vorbei an technischen Kontrollen und selbst sicherheitsbewussten Mitarbeitern.

Zero-Trust als Antwort

Unternehmen müssen ihre Sicherheitsstrategie anpassen. Der Kampf gegen Phishing kann sich nicht mehr allein auf Domain-Reputation und E-Mail-Filter verlassen.

Organisationen sollten verstärkt Schulungen anbieten, die Nutzer lehren, URLs genauer zu prüfen – insbesondere bei Subdomains wie blob.core.windows.net. IT-Administratoren sollten strengere Kontrollen für Drittanbieter-Apps in ihren Microsoft 365-Umgebungen implementieren.

Der wirksamste Schutz wird künftig ein “Zero-Trust”-Ansatz bei allen Kommunikationen sein, kombiniert mit fortschrittlichen Bedrohungserkennungslösungen. Diese analysieren Verhaltensmuster statt nur statische Indikatoren.

Der Missbrauch vertrauenswürdiger Plattformen zeigt deutlich: In der heutigen Bedrohungslandschaft lässt sich Legitimität überzeugend fälschen. Wachsamkeit ist wichtiger denn je.