Security

SOHO-Router DNS-Hijacking: Microsoft warnt

3 Min. Lesezeit

Zusammenfassung

Microsoft Threat Intelligence berichtet, dass Forest Blizzard anfällige Heim- und Kleinbüro-Router kompromittiert hat, um DNS-Datenverkehr umzuleiten und in einigen Fällen Adversary-in-the-Middle-Angriffe auf gezielte Verbindungen zu ermöglichen. Die Kampagne ist für IT-Teams relevant, weil nicht verwaltete SOHO-Geräte von Remote- und Hybrid-Mitarbeitenden den Zugriff auf Cloud-Dienste und sensible Daten gefährden können, selbst wenn Unternehmensumgebungen abgesichert bleiben.

Audio-Zusammenfassung

0:00--:--
Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einleitung

Microsoft hat eine groß angelegte Kampagne offengelegt, bei der Forest Blizzard, ein Bedrohungsakteur mit Verbindungen zum russischen Militärgeheimdienst, anfällige SOHO-Router kompromittierte und deren DNS-Einstellungen veränderte. Für Organisationen mit Remote- und Hybrid-Mitarbeitenden ist das eine wichtige Erinnerung daran, dass nicht verwaltete Heim- und Kleinbüro-Netzwerkgeräte zu einem blinden Fleck werden können, der den Zugriff auf Microsoft 365 und anderen sensiblen Datenverkehr offenlegt.

Was ist neu?

Laut Microsoft Threat Intelligence ist der Akteur seit mindestens August 2025 aktiv und hat kompromittierte Edge-Geräte genutzt, um im großen Maßstab eine bösartige DNS-Infrastruktur aufzubauen.

Zentrale Erkenntnisse

  • Forest Blizzard änderte Router-Konfigurationen so, dass Geräte auf DNS-Resolver unter Kontrolle des Akteurs verwiesen.
  • Microsoft identifizierte mehr als 200 betroffene Organisationen und 5.000 Verbrauchergeräte innerhalb der bösartigen DNS-Infrastruktur.
  • Die Kampagne ermöglichte passive DNS-Erfassung und Reconnaissance in gezielten Netzwerken.
  • In einem Teil der Fälle nutzte der Akteur diese Position zur Unterstützung von Transport Layer Security (TLS) Adversary-in-the-Middle (AiTM)-Angriffen.
  • Microsoft beobachtete nachgelagerte Angriffe auf Outlook on the web-Domains sowie separate AiTM-Aktivitäten gegen Regierungsserver in Afrika.

Warum das für IT-Administratoren wichtig ist

Die wichtigste Erkenntnis ist, dass Sicherheitskontrollen im Unternehmen den Datenverkehr nicht vollständig schützen, wenn der vorgeschaltete Router eines Nutzers kompromittiert ist. Ein Heim- oder Kleinbüro-Router kann DNS-Abfragen unbemerkt umleiten und einem Angreifer Einblick in angeforderte Domains geben sowie in ausgewählten Szenarien die Möglichkeit bieten, Antworten zu fälschen und eine Verkehrsinterzeption zu versuchen.

Für Microsoft 365-Kunden ist das besonders relevant, wenn Nutzer Outlook on the web oder andere Cloud-Dienste aus nicht verwalteten Netzwerken verwenden. Selbst wenn Microsoft-Dienste selbst nicht kompromittiert sind, können Nutzer dennoch gefährdet sein, wenn sie ungültige TLS-Zertifikatswarnungen ignorieren oder verdächtige DNS-Aktivitäten unentdeckt bleiben.

Empfohlene Maßnahmen

Microsoft empfiehlt mehrere sofortige Maßnahmen zur Risikominimierung:

  • Überprüfen Sie Risiken im Zusammenhang mit Heim- und Kleinbüro-Netzwerkgeräten von Remote-Nutzern.
  • Erzwingen Sie nach Möglichkeit vertrauenswürdige DNS-Auflösung, einschließlich Zero Trust DNS (ZTDNS)-Kontrollen auf Windows-Endpunkten.
  • Aktivieren Sie network protection und web protection in Microsoft Defender for Endpoint.
  • Blockieren Sie bekannte bösartige Domains und bewahren Sie detaillierte DNS-Logs für Monitoring und Untersuchungen auf.
  • Prüfen Sie Konfigurationen von Routern und Edge-Geräten, insbesondere DNS- und DHCP-Einstellungen.
  • Stellen Sie sicher, dass anfällige SOHO-Geräte gepatcht, sicher konfiguriert oder ersetzt werden, wenn sie nicht mehr unterstützt werden.
  • Schulen Sie Nutzer darin, TLS-Zertifikatswarnungen nicht zu umgehen.

Fazit

Diese Kampagne zeigt, wie Angreifer schwach verwaltete Edge-Geräte ausnutzen können, um Einblick in wertvollere Unternehmensziele zu gewinnen. Sicherheitsteams sollten ihr Bedrohungsmodell über die Unternehmensinfrastruktur hinaus erweitern und Heimarbeitsplatz-Netzwerkgeräte als Teil von Remotezugriffs- und Microsoft 365-Schutzstrategien berücksichtigen.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Threat Intelligence lesen
DNS hijackingSOHO routersMicrosoft DefenderAiTMForest Blizzard

Verwandte Beiträge

Security

Storm-1175 Medusa-Ransomware auf Websystemen

Microsoft Threat Intelligence warnt, dass Storm-1175 anfällige internetseitige Systeme schnell ausnutzt, um Medusa ransomware bereitzustellen – teils innerhalb von 24 Stunden nach dem Erstzugriff. Der Fokus der Gruppe auf neu offengelegte Schwachstellen, Webshells, RMM-Tools und schnelle laterale Bewegung macht zügiges Patchen, Exposure Management und Erkennung nach einer Kompromittierung für Verteidiger entscheidend.

Security

Device Code Phishing: KI-Kampagne eskaliert

Microsoft Defender Security Research hat eine groß angelegte Phishing-Kampagne beschrieben, die den OAuth-Device-Code-Flow mit KI-generierten Ködern, dynamischer Code-Erstellung und automatisierter Backend-Infrastruktur missbraucht. Die Kampagne erhöht das Risiko für Organisationen, weil sie die Erfolgsquote von Angreifern verbessert, klassische Erkennungsmuster umgeht und Token-Diebstahl, Persistenz über Inbox-Regeln sowie Reconnaissance über Microsoft Graph ermöglicht.

Security

AI-Cyberangriffe beschleunigen die Angriffskette

Microsoft warnt, dass Bedrohungsakteure inzwischen AI über den gesamten Cyberangriffszyklus hinweg einsetzen – von Aufklärung und Phishing bis zur Malware-Entwicklung und Aktivitäten nach einer Kompromittierung. Für Verteidiger bedeutet das schnellere, präzisere Angriffe, höhere Phishing-Erfolgsquoten und einen wachsenden Bedarf, Identitäten, MFA-Schutz und die Transparenz über AI-gesteuerte Angriffsflächen zu stärken.

Security

PHP-Webshells auf Linux: Cookie-gesteuerte Tarnung

Microsoft warnt, dass Bedrohungsakteure HTTP-Cookies nutzen, um PHP-Webshells in Linux-Hosting-Umgebungen zu steuern. So bleibt schädlicher Code inaktiv, solange keine bestimmten Cookie-Werte vorhanden sind. Die Technik verringert die Sichtbarkeit in routinemäßigen Logs, unterstützt Persistenz über Cron-Jobs und unterstreicht den Bedarf an stärkerem Monitoring, Webschutz und Endpoint Detection für gehostete Linux-Workloads.

Security

Axios npm-Kompromittierung: Leitfaden zur Abwehr

Microsoft warnte, dass die schädlichen Axios npm-Versionen 1.14.1 und 0.30.4 bei einem Supply-Chain-Angriff verwendet wurden, der Sapphire Sleet zugeschrieben wird. Unternehmen mit den betroffenen Paketen sollten umgehend Secrets rotieren, auf sichere Versionen downgraden und Entwicklerendpunkte sowie CI/CD-Systeme auf eine Kompromittierung prüfen.

Security

Kritische Infrastruktur: Sicherheitsbereitschaft 2026

Microsoft sagt, dass sich das Bedrohungsmodell für kritische Infrastruktur von opportunistischen Angriffen zu dauerhaftem, identitätsbasiertem Zugriff verlagert hat, der auf spätere Störungen ausgelegt ist. Für IT- und Sicherheitsverantwortliche ist die Botschaft klar: Angriffsfläche reduzieren, Identitäten absichern und die operative Bereitschaft jetzt validieren, da Regulierung und Aktivitäten von Nationalstaaten zunehmen.