MFA unter Beschuss Angreifer umgehen MFA mit gefälschten Microsoft OAuth Apps

Cyberkriminellen gelingt es immer öfter, mit gefälschten Microsoft-OAuth-Anwendungen die Multifaktor-Authentifizierung auszuhebeln. Forscher von Proofpoint entdecken Cyberangriffe bei denen täuschend echte Microsoft OAuth Anwendungen über AiTM-Phishingkits Anmeldedaten, MFA Tokens und Session Cookies abgreifen. So funktionieren die Angriffe und diese Abwehrmaßnahmen zählen jetzt!

Security-Forscher von Proofpoint beobachten mehrere Cybercrime-Kampagnen, bei denen die Täter die Multifaktor-Authentifizierung (MFA) aushebeln, um Zugang zu Unternehmens­daten zu erlangen. Im Zentrum ihrer Analyse steht die Erkenntnis, dass Angreifer nicht mehr nur auf klassische Phishing-Methoden setzen, sondern hochentwickelte Angriffsketten nutzen. Dabei dienen täuschend echte OAuth-Apps als Einfallstor. Mittels dieser Vorgehensweise können sich die Täter Zugriff auf Microsoft-365-Konten verschaffen, indem sie sowohl Anmeldedaten als auch MFA-Tokens und Session-Cookies abgreifen.

MFA schützt nicht vor Tycoon 2FA mit PaaS-Ansatz

Gezielte Phishing-Angriffe auf Gmail und Microsoft 365

Täuschend echte Apps und raffinierte Social-Engineering-Taktiken

Die Experten berichten, dass Cyberkriminelle täuschend echte Microsoft-365-Anwendungen erstellen, die populäre Dienste wie RingCentral, SharePoint, Adobe oder DocuSign imitieren. In groß angelegten E-Mail-Kampagnen verschicken sie Nachrichten mit geschäftlichen Betreffzeilen wie „Bitte um Kostenvoranschlag” oder „Vertragsvereinbarung”. Nicht selten stammen diese E-Mails von bereits kompromittierten Konten und enthalten Links, die auf scheinbar legitime OAuth-Autorisierungsseiten führen. Dort werden die Empfänger aufgefordert, der Anwendung Zugriff auf ihr Profil oder bereits freigegebene Daten zu gewähren. Selbst wenn Nutzer die Berechtigungen ablehnen, gelangen sie anschließend auf eine weitere Seite, die als Microsoft-Login getarnt ist. Hier erfolgt die Überlistung der MFA: Mithilfe sogenannter Attacker-in-the-Middle-(AiTM)-Phishingkits wie „Tycoon” greifen die Kriminellen nicht nur Zugangsdaten, sondern auch MFA-Tokens und Session-Cookies ab. Damit gelingt es den Angreifern, selbst moderne Authentifizierungsmechanismen zu umgehen und direkten Zugriff auf Unternehmensressourcen zu erhalten.

Phishing trotz Zwei-Faktor-Authentifizierung

Erfolgreiche Hacks trotz 2FA – das können Unternehmen tun

Ein besonders anschauliches Beispiel liefert eine Kampagne aus dem März 2025: Ein US-amerikanisches Luftfahrtunternehmen wurde Opfer eines Angriffs, bei dem die Inventarplattform iLSMART imitiert wurde. Nach dem Klick auf den Link landeten die Opfer auf einer Microsoft-OAuth-Seite, die im Namen von „iLSMART” Zugriffsrechte abfragte. Anschließend wurden sie auf eine Phishing-Seite weitergeleitet, die mit dem Entra-ID-Branding des jeweiligen Unternehmens versehen war und so für zusätzliche Glaubwürdigkeit sorgte. Im Juni 2025 erfolgte zudem eine breit angelegte Imitationskampagne von Adobe, die über SendGrid verbreitet wurde. Die Links führten letztlich erneut zu einer gefälschten Microsoft-Anmeldeseite, auf der die Tycoon-Plattform zum Einsatz kam.

Die Cloud-Daten-Analyse von Proofpoint konnte mehr als zwei Dutzend bösartige Anwendungen mit ähnlichen Merkmalen identifizieren. Diese Apps wurden von über 20 Nutzern in ebenso vielen verschiedenen Mandanten autorisiert. Allerdings blieb die Zahl erfolgreicher Accountübernahmen vergleichsweise gering. Dies deutet darauf hin, dass die gefälschten Apps vor allem als Köder dienen und der eigentliche Schaden erst durch die Eingabe der Zugangsdaten auf der Phishingseite entsteht. Besonders auffällig ist der Einsatz des HTTP-Clients „Axios” in den User-Agent-Strings der Angreifer – ein klares Indiz für die Nutzung des Tycoon-Phishingkits. Seit Jahresbeginn verzeichnete Proofpoint fast 3.000 Kompromittierungs­versuche in über 900 Microsoft-365-Umgebungen, wobei die Erfolgsquote mit über 50 Prozent ungewöhnlich hoch ausfiel.

So verbessern Unternehmen ihre MFA-Sicherheit

Die Schwachstellen von MFA und wie man sie behebt

Dynamische Infrastruktur der Angreifer

Auch ihre Infrastruktur entwickeln die Angreifer stetig weiter. So stellten sie im April 2025 ihre Aktivitäten von russischen Proxy-Diensten auf US-basierte Data-Center-Hosting-Services um. Dies deutet darauf hin, dass sie nach dem Bekanntwerden ihrer bisherigen Methoden gezielt versuchen, eine Erkennung und Blockierung zu erschweren.

Microsoft hat inzwischen auf die neue Bedrohungslage reagiert und angekündigt, schrittweise Legacy-Authentifizierungsprotokolle zu blockieren und für Apps von Drittanbietern eine Admin-Zustimmung zu verlangen. Proofpoint begrüßt diesen Schritt ausdrücklich, geht jedoch davon aus, dass die Angreifer weiterhin innovative Wege finden werden, um Identitäten und Zugangsdaten zu kompromittieren: Um der zunehmenden Professionalisierung von AiTM-Phishing-Angriffen wirksam zu begegnen, sollten Unternehmen ihre Schutzmaßnahmen kontinuierlich überprüfen und sowohl technische als auch organisatorische Vorkehrungen treffen, was die Sensibilisierung der Mitarbeitenden einschließt.

Vor MFA-Angriffen schützen

Wie Hacker MFA nutzen, um Unternehmen anzugreifen

(ID:50505630)