Security

AiTM-Phishingkampagne zielt auf Microsoft 365

3 Min. Lesezeit

Zusammenfassung

Microsoft hat eine groß angelegte Adversary-in-the-Middle-(AiTM)-Phishingkampagne beschrieben, die gefälschte Untersuchungen zu Verhaltensrichtlinien nutzte, um Authentifizierungstoken zu stehlen. Der Angriff kombinierte ausgefeiltes Social Engineering, vorgeschaltete CAPTCHA-Seiten und einen legitimen Microsoft-Sign-in-Flow und zeigt, warum phishingresistente Schutzmaßnahmen und stärkere E-Mail-Sicherheit wichtig sind.

Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einleitung

Microsoft hat eine raffinierte Phishingkampagne aufgedeckt, die mehr als 35.000 Benutzer in über 13.000 Organisationen in 26 Ländern ins Visier nahm. Für Microsoft 365- und Sicherheitsadministratoren ist das relevant, weil der Angriff eine Adversary-in-the-Middle-(AiTM)-Technik nutzte, um Authentifizierungstoken abzugreifen. Damit lässt sich nicht phishingresistente MFA umgehen und Angreifern sofortiger Kontozugriff ermöglichen.

Was ist neu

Zwischen dem 14. und 16. April 2026 beobachtete Microsoft eine mehrstufige Phishingoperation, die Code of Conduct- und interne Compliance-Köder einsetzte. Die Nachrichten sollten wie legitime interne Kommunikation wirken und wurden als authentifizierte E-Mails von durch Angreifer kontrollierten Domains über einen legitimen E-Mail-Zustelldienst versendet.

Zu den wichtigsten Merkmalen der Kampagne gehörten:

  • Professionell gestaltete E-Mails mit Compliance-Bezug mit dringlichen Betreffzeilen zu Fehlverhalten von Mitarbeitern oder Verstößen gegen Vorgaben
  • PDF-Anhänge, die Empfänger anwiesen, Fallunterlagen zu prüfen
  • Mehrere vorgeschaltete Seiten einschließlich CAPTCHA-Prüfungen und zwischengeschalteter „Verifizierungsschritte“
  • Eine abschließende Microsoft Sign-in-Aufforderung, eingebettet in einen AiTM-Flow zur Abfangung von Sitzungstoken
  • Breite Auswirkungen über viele Branchen hinweg, insbesondere Healthcare, Financial Services, Professional Services und Technology

Microsoft erklärte, dass sich die meisten Opfer in den Vereinigten Staaten befanden, die Kampagne jedoch Organisationen weltweit betraf.

Warum dieser Angriff bedeutsam ist

Im Gegensatz zu einfachem Credential-Phishing schleusen AiTM-Angriffe die Authentifizierungssitzung in Echtzeit durch einen Proxy. Das bedeutet: Selbst wenn Benutzer MFA abschließen, können Angreifer weiterhin Token erfassen und wiederverwenden, um auf Konten zuzugreifen.

Diese Kampagne zeigt auch, wie sich Phishingtaktiken weiterentwickeln:

  • Angreifer nutzten HTML-Vorlagen im Enterprise-Stil, um ihre Glaubwürdigkeit zu erhöhen
  • Sie setzten Zeitdruck und HR-ähnliche Vorwürfe ein, um schnelles Handeln auszulösen
  • CAPTCHA- und vorgeschaltete Seiten halfen dabei, automatisierte Sicherheitsanalysen zu filtern
  • Der abschließende Sign-in-Flow wirkte legitim genug, um das Misstrauen der Benutzer zu verringern

Auswirkungen auf IT-Administratoren

Sicherheitsteams sollten dies als Erinnerung verstehen, dass Benutzeraufklärung allein nicht ausreicht. Organisationen brauchen mehrschichtige Schutzmaßnahmen für E-Mail, Identität, Endpoint und Webschutz.

Administratoren sollten Folgendes überprüfen:

  • Konfigurationen von Exchange Online Protection und Microsoft Defender for Office 365
  • Anti-Phishing-Richtlinien und Schutz vor Identitätsvortäuschung
  • SmartScreen-Unterstützung in verwalteten Browsern
  • Network protection in Windows zum Blockieren bösartiger Webziele
  • Erkennungs- und Reaktionsabdeckung für verdächtige Sign-in-Aktivitäten und Tokenmissbrauch

Empfohlene nächste Schritte

IT-Teams sollten die folgenden Maßnahmen ergreifen:

  1. Benutzer schulen zu Phishing-Ködern aus HR-, Compliance- und Regulierungsumfeldern
  2. Phishing-Simulationen durchführen mit dem Attack Simulation Training in Microsoft Defender for Office 365
  3. E-Mail-Sicherheitseinstellungen härten und Richtlinienempfehlungen im Microsoft Security Portal prüfen
  4. Phishingresistente Authentifizierung priorisieren, wo immer möglich
  5. Nach Indicators of Compromise suchen und ungewöhnliches Sitzungsverhalten im Zusammenhang mit Sign-in-Ereignissen untersuchen

Diese Kampagne unterstreicht eine zentrale Sicherheitslektion: Modernes Phishing dreht sich nicht mehr nur um Passwörter. Die Abwehr von Tokendiebstahl erfordert stärkeren Identitätsschutz, bessere E-Mail-Sicherheit und kontinuierliche Benutzerschulung.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Defender Security Research Team and Microsoft Threat Intelligence lesen
AiTM phishingMicrosoft 365 securitytoken theftMicrosoft Defender for Office 365phishing campaign

Verwandte Beiträge

Security

ClickFix macOS-Kampagne verteilt Infostealer

Microsoft hat eine neue ClickFix-ähnliche Kampagne identifiziert, die macOS-Nutzer mit gefälschten Anleitungen zur Fehlerbehebung und Utility-Installationen auf Blogs und Content-Plattformen angreift. Statt Apps herunterzuladen, werden Opfer dazu verleitet, Terminal-Befehle auszuführen, die typische macOS-App-Prüfungen umgehen und Infostealer wie Macsync, SHub Stealer und AMOS bereitstellen.

Security

CVE-2026-31431: Linux Root-Eskalation erklärt

Microsoft hat CVE-2026-31431 beschrieben, eine schwerwiegende lokale Linux-Sicherheitslücke zur Rechteausweitung, die auf großen Distributionen und in Cloud-Workloads Root-Zugriff ermöglichen kann. Das Problem ist besonders relevant, weil es Shared-Kernel-Umgebungen wie Container und Kubernetes betrifft und damit das Risiko von Container Escape, lateral movement und einer Host-Kompromittierung erhöht, wenn Systeme nicht schnell gepatcht werden.

Security

Microsoft Agent 365 GA: Sicherheit und AI-Kontrollen

Microsoft Agent 365 ist jetzt allgemein für kommerzielle Kunden verfügbar und bietet IT- und Sicherheitsteams eine einheitliche Steuerungsebene, um AI-Agents in Microsoft 365, auf Endpunkten und in Cloud-Umgebungen zu überwachen, zu verwalten und abzusichern. Neue Preview-Funktionen erweitern die Transparenz zudem auf Shadow AI, lokale Windows-Agents, Multicloud-Agent-Plattformen und richtlinienbasierte Kontrollen über Defender und Intune.

Security

E-Mail-Bedrohungslage Q1 2026: Microsoft-Einblicke

Microsoft meldet 8,3 Milliarden erkannte Phishing-E-Mails im Q1 2026. QR-Code-Phishing hat sich mehr als verdoppelt, und durch CAPTCHA geschützte Kampagnen entwickeln sich schnell weiter. Die Erkenntnisse sind für Sicherheitsteams relevant, weil Angreifer verstärkt auf linkbasierten Diebstahl von Anmeldedaten setzen, während Maßnahmen gegen Tycoon2FA zeigen, dass koordinierte Aktionen die Auswirkungen von Phishing verringern können.

Security

{{Microsoft Security Updates für AI und Defender}}

Microsoft hat neue Sicherheitsfunktionen für Agent 365, Defender for Cloud, GitHub Advanced Security und Microsoft Purview angekündigt. Die Updates konzentrieren sich auf bessere Transparenz bei AI-Agent-Aktivitäten, einen stärkeren Schutz vom Code bis zur Runtime sowie schnellere Untersuchungen zur Datensicherheit für Security- und IT-Teams.

Security

CISO-Risikobewertungen: 8 Microsoft Best Practices

Microsoft hat einen praxisnahen Rahmen für CISOs und Sicherheitsverantwortliche veröffentlicht, um Risikobewertungen angesichts zunehmender KI-gestützter Cyberbedrohungen effektiver durchzuführen. Die Leitlinien konzentrieren sich auf acht Prüfbereiche – von Assets und Applications bis hin zu Authentication, Authorization und Netzwerkisolierung –, damit Unternehmen von reaktiver Reaktion zu proaktiver Risikoreduzierung wechseln können.