Phishing-Kampagne nutzt Microsoft Device Authorization Grant - Risiken und Schutzmaßnahmen
Eine aktuelle Phishing-Kampagne missbraucht den Device Authorization Grant von Microsoft, um unbemerkt Zugriff auf Benutzerkonten zu erlangen. Dabei werden legitime Microsoft-Seiten eingesetzt, sodass klassische Phishing-Hinweise leicht umgangen werden. Die Gefahr liegt in der Kombination aus vertrauten URLs und einem scheinbar harmlosen Eingabeschritt, bei dem Opfer einen Device Code auf einer echten Microsoft-Seite eingeben. Kaspersky warnt, solche Anfragen kritisch zu prüfen, da sie sonst zu einem gültigen Zugriffstoken führen können.
Wie funktioniert der Device Authorization Grant?
Der Device Code Flow ist Teil des OAuth-2.0-Standards und wurde für Geräte mit eingeschränkten Eingabemöglichkeiten entwickelt - beispielsweise Smart-TVs, Drucker oder IoT-Systeme. Statt Benutzername und Passwort direkt auf dem Gerät einzugeben, authentifiziert sich der Nutzer über ein separates Endgerät und bestätigt dort einen einmalig generierten Code. Nach erfolgreicher Bestätigung erhält die Anwendung ein Zugriffstoken, das Zugriff auf die Ressourcen des Kontos ermöglicht.
Ablauf der Phishing-Kampagne
Die Angreifer starten mit täuschend echten E-Mails, die sich als Mitteilungen einer Anwaltskanzlei ausgeben und passwortgeschützte PDF-Dokumente enthalten. In den PDFs wird der Empfänger aufgefordert, über einen angeblichen Dienst namens "LawConnect" auf Unterlagen zuzugreifen. Der Link führt zunächst zu einer offiziellen Microsoft-Anmeldeseite, leitet dann aber über mehrere Redirects zu einer von den Angreifern kontrollierten Website weiter. Dort erhalten die Opfer nach mehreren CAPTCHA-Abfragen einen Device Code und die Anweisung, diesen auf einer echten Microsoft-Seite einzugeben. Da der Code bereits einer von den Angreifern registrierten Anwendung zugeordnet ist, wird nach Bestätigung ein gültiges Zugriffstoken ausgestellt, das den Angreifern Zugriff auf E-Mails, Profildaten und weitere Cloud-Ressourcen gewährt.
Aktuelle Zahlen zu Phishing-Angriffen
- Steigerung der Phishing-Vorfälle im Jahr 2022 um 25 % gegenüber 2021 (Cybereason, 2022) - Quelle: 2022 Phishing Report (S1)
- Gesamtzahl der Phishing-Vorfälle 2022: 27.300 Vorfälle (S1)
- Erfolgreiche Phishing-Angriffe 2022: 34 % aller Phishing-Versuche (S2)
- Unternehmen, die mehrstufige Authentifizierung (MFA) einsetzen, reduzieren die Wahrscheinlichkeit eines erfolgreichen Phishing-Angriffs um bis zu 99 % (2023) - Quelle: The Impact of MFA on Security (S2)
Warum ist der Angriff besonders tückisch?
Die Angreifer nutzen echte Microsoft-URLs, sodass die Opfer zunächst eine vertrauenswürdige Anmeldeseite sehen. Der kritische Schritt - die Eingabe des Device Codes - erfolgt ebenfalls auf einer legitimen Microsoft-Seite, wodurch klassische Phishing-Erkennungsmerkmale wie gefälschte Domains oder verdächtige Eingabefelder entfallen. Durch Open-Redirect-Parameter wie redirect_uri, return_url oder next werden Nutzer unbemerkt auf schädliche Ziele umgeleitet.
Empfohlene Schutzmechanismen
Kaspersky gibt mehrere konkrete Handlungsempfehlungen:
- Device-Code-Anfragen stets kritisch prüfen und nur bestätigen, wenn tatsächlich eine Anmeldung auf einem externen Gerät erfolgt.
- Open-Redirect-Parameter in URLs überwachen und blockieren.
- Den Device Code Flow in der eigenen Umgebung nur aktivieren, wenn er wirklich benötigt wird; andernfalls über Conditional-Access-Richtlinien in Microsoft Entra ID deaktivieren.
- DeviceCodeSignIn-Ereignisse überwachen und bei Anmeldungen aus ungewöhnlichen Regionen Alarm auslösen.
- Mehrstufige Authentifizierung (MFA) implementieren - Studien zeigen eine Reduktion erfolgreicher Phishing-Angriffe um bis zu 99 %.
Schwierigkeiten bei der Erkennung von Phishing-Seiten
Ein zentrales Risiko besteht darin, dass Nutzer häufig nicht erkennen, ob sie sich auf einer echten Microsoft-Anmeldeseite befinden. Die Verwendung legitimer Domains und das Fehlen offensichtlicher Phishing-Merkmale erschweren die Unterscheidung. Deshalb ist Aufklärung über die Funktionsweise des Device Code Flows und das Bewusstsein für unerwartete Code-Anfragen besonders wichtig.
FAQ
Wie kann ich meine Kontosicherheit erhöhen?
Die Implementierung einer mehrstufigen Authentifizierung (MFA) kann die Sicherheit erheblich erhöhen.
Zusammenfassung
Forscher entdeckten eine Phishing-Kampagne, die den Device Code Flow missbraucht. Täter nutzen legitime Microsoft-Seiten, um Opfer unwissentlich eine fremde Anwendung zu autorisieren. Durch die Autorisierung erhalten Angreifer Zugriff auf E-Mails und private Cloud-Daten. Sicherheitsexperten raten zur Prüfung jeder Code-Authentifizierung und empfehlen, den Dienst via Richtlinien zu deaktivieren, wenn er nicht nötig ist.
Die Zunahme von Phishing-Angriffen ist alarmierend: Laut einer Studie von Cybereason hat sich die Anzahl der Phishing-Vorfälle im Jahr 2022 um 25 % erhöht. Besonders betroffen sind Angriffe, die OAuth- und ähnliche Autorisierungsmechanismen ausnutzen, was die Notwendigkeit eines kritischen Umgangs mit digitalen Anmeldungen unterstreicht (Cybereason, 2022). Zusätzlich zeigt eine aktuelle Untersuchung, dass Unternehmen, die mehrstufige Authentifizierung (MFA) aktiv nutzen, die Wahrscheinlichkeit eines erfolgreichen Phishing-Angriffs um bis zu 99 % senken können. Diese präventiven Maßnahmen sind daher unerlässlich, um Nutzerkonten zu schützen.
Die Herausforderung bleibt, dass es für Nutzer zunehmend schwierig wird, legitime von gefälschten Anmeldeseiten zu unterscheiden. Cyberkriminelle nutzen diese Unsicherheit aus, was die Aufklärung der Nutzer über Anmeldeprozesse und Sicherheitsmaßnahmen umso wichtiger macht.
Fazit
Der Missbrauch des Microsoft Device Authorization Grants verdeutlicht, wie Angreifer legitime Infrastruktur nutzen, um Phishing-Angriffe zu verfeinern. Die Kombination aus echten Microsoft-URLs, einem scheinbar harmlosen Device-Code-Eingabeschritt und offenen Redirect-Mechanismen macht den Angriff besonders schwer erkennbar. Angesichts der steigenden Zahl von Phishing-Vorfällen und der nachweislichen Wirksamkeit von MFA sollten Unternehmen sofortige Maßnahmen ergreifen: kritische Prüfung von Device-Code-Anfragen, Deaktivierung des Flows, wo er nicht benötigt wird, und konsequente Durchsetzung von Mehrfaktorauthentifizierung. Nur durch ein mehrschichtiges Sicherheitskonzept lässt sich das Risiko solcher ausgeklügelten Phishing-Kampagnen wirksam reduzieren.
Weitere Trends
Valve stellt offizielle Windows-Treiber für die Steam Machine bereit - Chancen, Einschränkungen und Leistungsvergleich
Valve hat ein offizielles Treiberpaket für die Steam Machine veröffentlicht, das die Nutzung von Windows 11 auf dem ursprünglich mit SteamOS...
Cloud Rebuild - Die neue Systemrettungsmethode in Windows 11
Microsoft erweitert mit Cloud Rebuild die Möglichkeiten der Systemrettung in Windows 11. Statt einer lokalen Wiederherstellungspartition oder eines...
Cloud Rebuild in Windows 11 - Die neue Systemrettungsfunktion im Überblick
Microsoft erweitert Windows 11 um eine cloud-basierte Wiederherstellungsmöglichkeit, die den klassischen USB-Stick-Ansatz ablöst. Die Funktion Cloud...