Security

Entra ID OAuth-Redirects für Phishing missbraucht

3 Min. Lesezeit

Zusammenfassung

Microsoft warnt vor einer Phishing-Methode, bei der Angreifer legitime OAuth-Redirects von Microsoft Entra ID missbrauchen, um Nutzer über scheinbar normale Anmeldeabläufe auf bösartige Seiten oder zu Malware umzuleiten. Das ist besonders brisant, weil die Links vertrauenswürdig wirken und teils Sicherheitskontrollen umgehen können – vor allem Behörden und öffentliche Einrichtungen stehen dabei im Fokus.

Audio-Zusammenfassung

0:00--:--
Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einführung: warum das wichtig ist

OAuth-Links zu bekannten Identity Providern (IdPs) wie Microsoft Entra ID genießen bei Benutzern oft Vertrauen und werden in manchen Fällen auch von Sicherheitskontrollen weniger strikt behandelt. Microsofts aktuelle Forschung hebt ein „by design“-OAuth-Redirect-Verhalten hervor, das missbraucht wird, um Benutzer von legitimen Login-Domains zu Angreifer-Infrastruktur umzuleiten—und so Phishing sowie Malware-Auslieferung zu ermöglichen, während es wie ein normaler Sign-in-Flow aussieht.

Das ist besonders relevant für IT-Admins in Behörden und Organisationen des öffentlichen Sektors, die in der beobachteten Aktivität gezielt angegriffen wurden.

Was ist neu / Kernerkenntnisse

Das Microsoft Defender Security Research Team beobachtete phishinggetriebene Ausnutzung der OAuth-Redirect-Mechanik über Signale aus E-Mail, Identity und Endpoint hinweg:

  • Missbrauch von Silent OAuth Flows: Angreifer erstellen OAuth-Authorization-URLs mit Parametern wie prompt=none, um eine stille Authentifizierungsprüfung zu erzwingen (ohne UI).
  • Absichtlich ungültige Scopes, um einen Fehlerpfad zu erzwingen: Requests enthalten scope=<invalid_scope> (oder andere Auslöser für Fehlschläge), um zuverlässig einen OAuth-Fehler zu erzeugen.
  • Fehlergetriebener Redirect zu einer vom Angreifer kontrollierten URI: Wenn der IdP einen Fehler zurückgibt (zum Beispiel interaction_required), wird der Browser zur registrierten Redirect URI der App weitergeleitet, die der Angreifer so konfiguriert, dass sie auf Phishing-Seiten oder Malware-Download-Seiten zeigt.
  • Für den Redirect ist kein Token-Diebstahl erforderlich: Der Angreifer versucht nicht zwingend, OAuth erfolgreich abzuschließen; der Redirect ist das eigentliche Ziel.
  • Missbrauch des State-Parameters zur Personalisierung: Der state-Parameter—eigentlich für die Korrelation von Request/Response gedacht—wurde zweckentfremdet, um die E-Mail-Adresse des Opfers (im Klartext, Hex, Base64 oder mit Custom-Encoding) zu übergeben, damit Phishing-Seiten Identifikatoren automatisch vorausfüllen können.
  • Kampagnen-Delivery-Muster: Phishing-Köder umfassten E-Signatur-Anfragen, Finanz-/Social-Security-Themen, Dokumentfreigaben, Teams-/Meeting-Inhalte und Passwort-Reset-Aufforderungen. Einige nutzten PDF-Anhänge mit eingebetteten Links und sogar .ics-Kalendereinladungen.
  • Nachgelagerte Tooling: Post-Redirect-Seiten nutzten häufig Phishing-Frameworks wie EvilProxy (attacker-in-the-middle), die darauf ausgelegt sind, Credentials und Session-Cookies abzugreifen, teils ergänzt um CAPTCHA-/Interstitial-Schritte.

Auswirkungen auf IT-Administratoren und Endbenutzer

  • Höheres Click-through-Risiko: Links beginnen auf vertrauenswürdigen IdP-Domains (zum Beispiel login.microsoftonline.com), was das Vertrauen der Benutzer erhöht.
  • Druck auf Defense-Bypass: Klassische URL-Reputationsprüfungen fokussieren sich möglicherweise auf die initiale Domain und übersehen das spätere Ziel.
  • Sichtbarkeit über mehrere Ebenen erforderlich: Microsoft weist darauf hin, dass Defender Signale über E-Mail, Identity und Endpoint hinweg korreliert hat—ein Hinweis darauf, dass Detektion über eine einzelne Kontrolle nicht ausreichen kann.
  • Anhaltende Bedrohung: Microsoft Entra hat beobachtete bösartige OAuth-Anwendungen deaktiviert, aber verwandte Aktivität hält an—Monitoring bleibt erforderlich.

Maßnahmen / nächste Schritte

  1. Suchen Sie in Logs und Proxy-Telemetrie nach verdächtigen OAuth-Authorize-Mustern, insbesondere:
    • prompt=none kombiniert mit ungewöhnlichen/ungültigen scope-Werten
    • Häufige OAuth-Fehlschläge, gefolgt von Redirects zu nicht-unternehmensbezogenen Domains
    • Verwendung von /common/ in unerwarteten, hochvolumigen Phishing-Kontexten
  2. Überprüfen und beschränken Sie App-Consent und App-Registrierungen:
    • Auditieren Sie neu erstellte Apps und Redirect URIs auf nicht vertrauenswürdige Domains
    • Verschärfen Sie, wer in Entra ID Anwendungen registrieren/Redirect URIs ändern darf
  3. Stärken Sie Phishing-Schutz über „Trusted Domain“-Checks hinaus:
    • Stellen Sie sicher, dass URL-Detonation/Safe-Link-Tools Redirects nachverfolgen
    • Schulen Sie Benutzer: „Startet bei Microsoft Sign-in“ garantiert keine Sicherheit
  4. Validieren Sie Conditional Access und Session Controls:
    • Überwachen Sie Sign-in- und OAuth-Error-Telemetrie auf Anomalien und gezielte Benutzergruppen
  5. Nutzen Sie Defender-Korrelation:
    • Nutzen Sie Microsoft Defender for Office 365 + Defender for Identity/Endpoint, um E-Mail-Köder, Sign-in-Verhalten und Endpoint-Payload-Aktivität zu korrelieren.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Defender Security Research Team lesen
OAuthMicrosoft Entra IDphishingMicrosoft Defenderidentity security

Verwandte Beiträge

Security

Trivy-Lieferkettenkompromittierung: Defender-Hinweise

Microsoft hat Hinweise zur Erkennung, Untersuchung und Eindämmung der Trivy-Lieferkettenkompromittierung vom März 2026 veröffentlicht, die die Trivy-Binärdatei und zugehörige GitHub Actions betraf. Der Vorfall ist relevant, weil vertrauenswürdige CI/CD-Sicherheitstools missbraucht wurden, um Anmeldeinformationen aus Build-Pipelines, Cloud-Umgebungen und Entwicklersystemen zu stehlen, während sie scheinbar normal ausgeführt wurden.

Security

KI-Agenten-Governance: Intent sicher ausrichten

Microsoft beschreibt ein Governance-Modell für KI-Agenten, das Benutzer-, Entwickler-, rollenbasierte und organisatorische Intent in Einklang bringt. Das Framework hilft Unternehmen, Agenten nützlich, sicher und compliant zu halten, indem es Verhaltensgrenzen und eine klare Rangfolge bei Konflikten definiert.

Security

Microsoft Defender Predictive Shielding stoppt GPO-Ransomware

Microsoft hat einen realen Ransomware-Fall beschrieben, in dem Defenders Predictive Shielding den Missbrauch von Group Policy Objects (GPOs) erkannte, bevor die Verschlüsselung begann. Durch das Härten der GPO-Verteilung und das Unterbrechen kompromittierter Konten blockierte Defender rund 97 % der versuchten Verschlüsselungsaktivität und verhinderte, dass Geräte über den GPO-Verteilungsweg verschlüsselt wurden.

Security

Agentic AI Sicherheit: Microsofts RSAC 2026 Neuerungen

Microsoft hat auf der RSAC 2026 neue Sicherheitsfunktionen für agentische KI vorgestellt, darunter die allgemeine Verfügbarkeit von Agent 365 ab dem 1. Mai als zentrale Steuerungsebene für Überwachung, Schutz und Governance von AI-Agents. Ergänzt wird dies durch neue Transparenz- und Erkennungstools wie das Security Dashboard for AI und Entra Internet Access Shadow AI Detection, was für Unternehmen wichtig ist, weil der breite Einsatz von AI-Agents neue Risiken bei Datenzugriff, Identitäten und unkontrollierter AI-Nutzung schafft.

Security

CTI-REALM Open Source: Benchmark für AI Detection

Microsoft hat mit CTI-REALM einen Open-Source-Benchmark vorgestellt, der prüft, ob AI-Agents im Security-Betrieb tatsächlich verwertbare Detection-Regeln aus Threat-Intelligence-Berichten ableiten und validieren können. Das ist wichtig, weil Security-Teams damit KI-Modelle nicht nur nach theoretischem Cybersecurity-Wissen, sondern nach ihrem praktischen Nutzen für SOC- und Detection-Engineering-Workflows in realistischen Umgebungen wie Linux, AKS und Azure bewerten können.

Security

Zero Trust for AI: Microsoft Workshop & Architektur

Microsoft erweitert seinen Zero-Trust-Ansatz gezielt auf KI-Umgebungen und führt dafür mit „Zero Trust for AI“ eine neue Leitlinie sowie eine eigene AI-Säule im Zero Trust Workshop ein. Das ist wichtig, weil Unternehmen damit einen strukturierten Rahmen erhalten, um Risiken wie Prompt Injection, Data Poisoning und übermäßige Zugriffe auf Modelle, Prompts und Datenquellen systematisch zu bewerten und mit konkreten Sicherheitskontrollen abzusichern.