[datensicherheit.de, 24.02.2026] Sicherheitsforscher von KnowBe4s „Threat Lab“ haben nach eigenen Angaben eine Phishing-Kampagne untersucht, welche die Multi-Faktor-Authentifizierung (MFA) von „Microsoft 365“ umgehen kann. Diese komplexe Phishing-Kampagne zielt demnach auf US-amerikanische Unternehmen und Fachkräfte ab. Die Angriffe kompromittierten „Microsoft 365“-Konten („Outlook“, „Teams“, „OneDrive“), indem sie den „OAuth 2.0“-Geräteautorisierungsfluss missbrauchten und dadurch selbst starke Passwörter und die MFA überlisteten.

Abbildung: KnowBe4

Ablauf des Angriffs: Dieser ist in fünf verschiedene Phasen unterteilt, vom anfänglichen Ködern bis zur endgültigen Token-Exfiltration

Angreifer streben dauerhaften Zugriff auf „Microsoft 365“-Konten und Unternehmensdaten an

Das Opfer werde auf das legitime Microsoft-Portal „microsoft.com/devicelogin“ weitergeleitet, um einen vom Angreifer bereitgestellten Gerätecode einzugeben.

• Durch die Eingabe dieses Codes werde das Opfer authentifiziert und ein gültiger „OAuth“-Zugriffstoken an die Anwendung des Angreifers ausgegeben.

„Mit diesem ergaunerten Token verschafft sich der Angreifer dauerhaften Zugriff auf die ,Microsoft 365‘-Konten und Unternehmensdaten des Opfers.“

Kampagne auf „Microsoft 365“ zeichnet sich durch folgende Merkmale aus:

• Ausgeklügelter Angriffsmechanismus
  Die Kampagne umgehe herkömmliche Sicherheitsmaßnahmen, da sie nicht auf dem Diebstahl von Anmeldedaten basiere. Stattdessen werde der Benutzer dazu verleitet, sich auf der legitimen Microsoft-Domäne zu authentifizieren – und anschließend werde der Token-Endpunkt abgefragt, um die „OAuth“-Zugriffs- und Aktualisierungstoken zu erfassen.
• Umgehung der MFA
  Dieser Angriff sei hochwirksam, da der Token-Diebstahl erst erfolge, nachdem der Benutzer die legitime MFA-Prüfung erfolgreich abgeschlossen hat.
• Spezifische Zielgruppe
  Diese Kampagne sei erstmals im Dezember 2025 beobachtet worden und sei auch aktuell noch im Gange. Die Aktivitäten konzentrierten sich vor allem auf Nordamerika, wobei mehr als 44 Prozent der Opfer in den USA ansässig seien. Besonders betroffen seien Organisationen der Branchen Technologie, Fertigung und Finanzdienstleistungen.
• Bedrohung für Unternehmen
  Die gestohlenen Token gewährten Angreifern umfassenden und dauerhaften Zugriff auf die „Microsoft 365“-Umgebung ihrer Opfer, einschließlich vollständiger Lese-, Schreib- und Sende-Berechtigungen für E-Mails, Kalender und Dateien („OneDrive“, „SharePoint“) sowie Verwaltungsfunktionen.

Fünfphasiger Angriffsablauf auf „Microsoft 365“

Der Ablauf ist laut KnowBe4 in fünf verschiedene Phasen unterteilt:

1. „Microsoft 365“-„OAuth“-Gerätecode-Generierung und Köder
   Der Angreifer registriert eine „OAuth“-Anwendung (Open Authorization) in „Microsoft 365“ und generiert einen eindeutigen Gerätecode. Der Gerätecode wird dann über eine gezielte Phishing-E-Mail an das Opfer gesendet.
2. Opfer fällt auf Köder herein
   Das Opfer erhält die Phishing-E-Mail und klickt auf den in der Nachricht eingebetteten bösartigen Link.
3. Vom Angreifer kontrollierte „Landing Page“
   Das Opfer wird auf eine gefälschte Webseite weitergeleitet, wo es aufgefordert wird, eine E-Mail-Adresse einzugeben, und wo ihm der Gerätecode des Angreifers zusammen mit Anweisungen zum Abschluss der vermeintlich „sicheren Authentifizierung” angezeigt wird.

4. Authentifizierung auf dem legitimen Microsoft-Portal
   Das Opfer navigiert zum echten Microsoft-Portal („microsoft.com/devicelogin“), gibt den Gerätecode des Angreifers ein und authentifiziert sich erfolgreich mit legitimen Anmeldedaten und der MFA.
5. Token-Diebstahl und dauerhafter Zugriff
   Die „Microsoft Identity Platform“ stellt einen gültigen „OAuth“-Zugriffstoken aus, welchen der Angreifer sofort abfängt. Dadurch erhält der Angreifer dauerhaften Zugriff auf das „Microsoft 365“-Konto des Opfers.

Schutzmaßnahmen gegen Übernahme des „Microsoft 365“-Kontos

Sicherheitsteams könnten eine Reihe von Schutzmaßnahmen durchführen, um ihre Systeme und Nutzer vor dieser Art von Angriffen zu schützen. Darunter fallen laut KnowBe4 die z.B. folgenden sieben:

1. Blockieren von IoCs (Arten von Indikatoren / Indicators of Compromise)
   Alle bekannten bösartigen Domänen und URLs sollten zu den Blocklisten des E-Mail-Gateways und des Webproxys der Organisation hinzugefügt werden.
2. Lokalisierung von Bedrohungen
   E-Mail-Protokolle sollten nach dem Absendermuster mit den identifizierten Betreffbeispielen durchsucht werden.
3. Prüfung von „OAuth“-Anwendungen
   Im „Microsoft 365 Admin Center“ sollten die Berechtigungen für verdächtige oder unbekannte „OAuth“-Anwendungen dringend überprüft und widerrufen werden.
4. Überprüfen der Anmeldelogs
   „Azure AD“-Anmeldelogbücher sollten auf Ereignisse zur Gerätecode-Authentifizierung überprüft werden, und es sollten Abfragen durchgeführt werden, um Anmeldungen von ungewöhnlichen geografischen Standorten zu identifizieren.
5. Deaktivieren des Gerätecodeflusses
   Der Angriffsvektor kann vollständig eliminiert werden, wenn Unternehmen die Verwendung des Gerätecodeflusses für gemeinsam genutzte oder öffentliche Geräte nicht erfordern.
6. Bedingter Zugriff
   Es sollten Richtlinien für bedingten Zugriff eingesetzt werden, um streng zu regeln, wer den Gerätecodefluss wann und wo verwenden darf.
7. App-Zustimmung prüfen
   „Microsoft Defender“ für „Cloud“-Apps sollte eingesetzt werden, um die „OAuth“-App-Zustimmung zu überwachen und zu steuern.

KnowBe4-Fazit: Herkömmliche Perimeter-Abwehrmaßnahmen und einfache Anmeldedatenprüfungen allein nicht ausreichend

Angesichts sich rasch entwickelnder Taktiken wie dieser „OAuth“-Token-Diebstahlkampagne reiche ein passiver Sicherheitsansatz für Sicherheitsteams nicht mehr aus.

• Die Tatsache, dass Angreifer legitime Domains nutzten und MFA umgehen könnten, zeige, dass herkömmliche Perimeter-Abwehrmaßnahmen und einfache Anmeldedatenprüfungen nicht ausreichten. Um diesen komplexen Bedrohungen entgegenzuwirken, müssten sich Unternehmen anpassen.

„Es müssen die erforderlichen Rahmenbedingungen geschaffen werden, um über den herkömmlichen Silo-Ansatz hinauszugehen und sich stattdessen auf Echtzeit-Bedrohungsinformationen und das Bewusstsein der Benutzer zu konzentrieren.“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4, KnowBe4 Threat Lab, Jeewan Singh Jalal & Prabhakaran Ravichandhiran & Anand Bodke, 12.02.2026
Uncovering the Sophisticated Phishing Campaign Bypassing M365 MFA

WIKIPEDIA
Microsoft 365