Microsoft-Nutzer: Raffinierte Phishing-Attacke umgeht Zwei-Faktor-Authentifizierung

Cyberkriminelle nutzen eine legitime Microsoft-Funktion für hocheffektive Angriffe. Eine russische Hackergruppe erbeutet mit „Device Code Phishing“ sensible Daten aus Regierung, Militär und IT-Branche – weltweit.

Die als Storm-2372 bekannte Gruppe nutzt seit August 2024 eine neue Angriffsmethode, die selbst Multi-Faktor-Authentifizierung (MFA) überwindet. Das Perfide: Die Opfer werden zu echten Microsoft-Seiten geleitet und merken nichts von der Manipulation.

Legitime Microsoft-Seiten als Einfallstor

Die Angreifer missbrauchen den OAuth 2.0 Device Authorization Flow – eigentlich gedacht für Geräte ohne Browser wie Smart-TVs oder Drucker. Statt gefälschte Websites zu erstellen, lenken sie Opfer auf die offizielle Seite microsoft.com/devicelogin.

Der Ablauf ist teuflisch einfach: Die Hacker kontaktieren ihre Ziele über Teams, WhatsApp oder Signal. Sie geben sich als Kollegen oder Geschäftspartner aus und versenden vermeintliche Meeting-Einladungen. Das Opfer soll zur Authentifizierung einen Code auf der echten Microsoft-Seite eingeben.

Was die Nutzer nicht ahnen: Der Code stammt vom Angreifer. Mit der Eingabe autorisieren sie unwissentlich dessen Gerät und verschaffen ihm Zugang zu E-Mails und Cloud-Speicher – ohne Passwort-Diebstahl.

Angriff wird immer raffinierter

Microsoft beobachtet eine beunruhigende Entwicklung: Storm-2372 nutzt mittlerweile die Client-ID des Microsoft Authentication Brokers. Dadurch erhalten die Kriminellen einen Primary Refresh Token (PRT) – quasi einen Generalschlüssel für das gesamte Firmennetzwerk.

Die Attacken treffen Organisationen weltweit: Regierungsstellen, NGOs, IT-Dienstleister, Rüstungsunternehmen, Telekommunikation, Gesundheitswesen und Energieversorger in Europa, Nordamerika, Afrika und dem Nahen Osten.

Nach erfolgreichem Einbruch durchsuchen die Hacker E-Mails systematisch nach Begriffen wie „Passwort“, „Admin“, „Zugangsdaten“ oder „Geheim“. Die erbeuteten Informationen nutzen sie für weitere Angriffe innerhalb der Organisation.

Anzeige: Apropos E-Mail-Konten: Wer Outlook nutzt, sollte Konten und Speicherorte sauber einrichten – viele Probleme entstehen durch falsche Einstellungen und unsaubere Synchronisation. Eine kostenlose Schritt-für-Schritt-Anleitung zeigt die korrekte Einrichtung, sichere Datenspeicherung und praktische Zeitspar-Tipps – von Outlook 2003 bis 365. Outlook in Minuten korrekt einrichten – Gratis-Anleitung sichern

Warum herkömmliche Sicherheit versagt

Diese Methode hebelt traditionelle Phishing-Abwehr aus. Sicherheitstrainings warnen vor gefälschten Websites – hier landen Nutzer aber auf echten Microsoft-Domains. Selbst MFA bietet keinen Schutz, da der legitimierte Authentifizierungsvorgang missbraucht wird.

„Die Angreifer brechen nicht ein – sie lassen sich hereinbitten“, warnen Sicherheitsexperten von Volexity. Die hohe Erfolgsrate erklärt sich durch das Vertrauen in offizielle Microsoft-Seiten.

Sofortmaßnahmen für Unternehmen

Microsoft empfiehlt drastische Gegenmaßnahmen: Organisationen sollten den Device Code Flow in den Richtlinien für bedingten Zugriff komplett blockieren, falls geschäftlich nicht erforderlich. Bei unvermeidlicher Nutzung: Beschränkung auf vertrauenswürdige Geräte und Netzwerke.

Bei Verdacht auf Kompromittierung reicht ein Passwort-Wechsel nicht. Administratoren müssen sämtliche Refresh-Tokens des betroffenen Kontos widerrufen, um die Angreifer endgültig auszusperren.

Experten rechnen mit Nachahmern: Der Erfolg von Storm-2372 dürfte andere Hackergruppen inspirieren, ähnliche Methoden zu entwickeln.