Derzeit gibt es eine sehr aktive Phishing-Kampagne, die sich auf das Microsoft Device-Code-Anmeldeverfahren konzentriert. Angreifer versuchen gefälschte Microsoft-Anmelde-Codes zu erstellen und damit an gültige Anmelde-Token zu gelangen.
Klassische Phishing-Methoden verlieren durch moderne Schutzmethoden zunehmend an Wirkung. Mit Device Code Phishing umgehen Angreifer allerdings viele dieser Schutzmaßnahmen.
(Bild: James Thew - stock.adobe.com)
Die Gerätecodeanmeldung (Device Code Login) in Microsoft-Produkten ermöglicht es Benutzern, sich an Geräten mit eingeschränkten Eingabemöglichkeiten wie IoT-Geräten zu authentifizieren. Dabei initiiert die Anwendung eine Anfrage an den Authentifizierungsserver, um einen Geräte- und Benutzercode zu erhalten. Der Benutzer wird aufgefordert, mit einem anderen internetfähigen Gerät eine bestimmte URL aufzurufen und dort den bereitgestellten Code einzugeben. Nach erfolgreicher Anmeldung kann das ursprüngliche Gerät Access Token und Refresh Token für den Zugriff auf geschützte Ressourcen erhalten. Dieses Verfahren gewährleistet eine sichere Authentifizierung auf Geräten ohne eigene Eingabemöglichkeiten. Allerdings steht dieses Verfahren aktuell im Fokus von Angreifern.
Cyberkriminelle haben längst erkannt, dass klassische Phishing-Methoden zunehmend an Wirkung verlieren. Nutzer werden vorsichtiger, Sicherheitsmechanismen wie Multi-Faktor-Authentifizierung erschweren direkte Angriffe. Mit Device Code Phishing haben Angreifer jedoch eine Technik etabliert, die selbst erfahrene Nutzer täuschen kann. Diese Methode nutzt den so genannten Device Code Flow, ein Authentifizierungsverfahren, das eigentlich dazu gedacht ist, die Anmeldung an Geräten ohne grafische Benutzeroberfläche zu vereinfachen. Microsoft Entra ID unterstützt dieses Verfahren standardmäßig - und genau das machen sich die Angreifer zunutze.
Bildergalerie
Bei einem typischen Angriff generiert der Angreifer zunächst einen legitimen Device Code und sendet diesen über eine Phishing-Nachricht an das Opfer. Die Aufforderung, den Code auf einer vermeintlich harmlosen Microsoft Login-Seite einzugeben, erweckt den Eindruck eines normalen Authentifizierungsprozesses. Der Benutzer gibt den Code gutgläubig ein, authentifiziert sich und übergibt damit ungewollt ein gültiges Zugangs-Token an den Angreifer. Während herkömmliches Phishing oft an Sicherheitsmechanismen wie domänenbasierter Erkennung oder Zwei-Faktor-Authentifizierung scheitert, umgehen Angreifer mit dieser Technik viele dieser Schutzmaßnahmen. Einmal erbeutete Token ermöglichen es dem Angreifer, sich im Namen des kompromittierten Nutzers einzuloggen, E-Mails abzurufen oder andere interne Dienste zu missbrauchen.
Microsoft hat kürzlich eine Veränderung beobachtet: Angreifer nutzen den Microsoft Authentication Broker, um erbeutete Tokens zu erneuern und Geräte direkt bei Entra ID zu registrieren. Dadurch erhalten sie nicht nur einmaligen Zugang, sondern können sich dauerhaft in Unternehmensnetzwerken einnisten. Der Microsoft Authentication Broker ist eine Systemkomponente, die zur sicheren Authentifizierung von Microsoft-Diensten auf Windows-Geräten dient. Er ermöglicht die geräteübergreifende Anmeldung und erleichtert die Verwaltung von Zugriffstokens, insbesondere bei Cloud-Diensten wie Microsoft Entra ID. Angreifer können diesen Mechanismus jedoch missbrauchen, indem sie gestohlene Zugriffstokens nutzen, um neue Geräte in Entra ID zu registrieren und so langfristigen Zugriff auf kompromittierte Netzwerke zu erhalten.
Besonders alarmierend ist, dass Microsoft kürzlich eine aktive Storm-2372 Kampagne identifiziert hat. Diese Gruppe, die höchstwahrscheinlich mit russischen Interessen in Verbindung steht, nutzt Device Code Phishing, um gezielt Regierungsstellen, NGOs sowie Unternehmen aus der IT-, Telekommunikations- und Verteidigungsbranche anzugreifen. Die Angreifer geben sich oft als bekannte Persönlichkeiten aus und nutzen Messaging-Dienste wie Signal, WhatsApp oder Microsoft Teams, um Vertrauen aufzubauen. Erst wenn sich das Opfer in Sicherheit wiegt, folgt die eigentliche Phishing-Aktion. Die getäuschten Nutzer geben ihre Zugangsdaten über ein manipuliertes Meeting-Einladungssystem weiter, ohne zu ahnen, dass die Authentifizierung in Wirklichkeit vom Angreifer kontrolliert wird.
Persistenter Zugang durch registrierte Geräte
Ein weiteres beunruhigendes Detail betrifft die Verwendung des Microsoft Authentication Brokers durch Storm-2372. Microsoft hat beobachtet, dass sich die Angreifer nicht nur mit erbeuteten Zugangs-Tokens zufrieden geben, sondern aktiv neue Geräte in Entra ID registrieren, um persistenten Zugang zu erlangen. Dabei nutzen sie regionale Proxy-Server, um verdächtige Anmeldeversuche zu verschleiern. Die Möglichkeit, ein kompromittiertes Gerät in die Unternehmensumgebung einzuschleusen, erlaubt es den Angreifern, sensible Daten über einen längeren Zeitraum zu exfiltrieren und weitere Angriffe innerhalb der Infrastruktur vorzubereiten. Darüber hinaus wurde festgestellt, dass Angreifer über die Microsoft Graph API gezielt nach E-Mails mit Schlüsselwörtern wie Passwort, Admin oder Credentials suchen, um weiteren Schaden anzurichten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Unternehmen sollten Conditional Access Policies verwenden, um den Device Code Flow so weit wie möglich zu deaktivieren. In diesem Fall sollten strenge Zugriffskontrollen implementiert werden, um nur autorisierten Geräten die Nutzung zu erlauben. Zusätzlich sollten Sign-In Risk Policies eingesetzt werden, um verdächtige Anmeldeversuche zu erkennen und darauf zu reagieren.
Eine weitere zentrale Maßnahme ist die Sensibilisierung der Mitarbeiter. Nutzer sollten lernen, Phishing-Versuche frühzeitig zu erkennen und keine unbekannten Codes auf Login-Seiten einzugeben. Unternehmen sollten zudem regelmäßig Audit-Logs überprüfen und ungewöhnlichen Aktivitäten nachgehen, wie etwa dem plötzlichen Auftauchen neuer Geräte oder ungewöhnlichen Anmeldeorten. Im Verdachtsfall sollten alle aktiven Tokens widerrufen und die betroffenen Nutzer zu einer erneuten Authentifizierung gezwungen werden.
Fazit: Anpassungsfähige Angreifer erfordern neue Schutzstrategien
Die Tatsache, dass ein so grundlegendes und weit verbreitetes Authentifizierungsverfahren missbraucht werden kann, zeigt, wie anpassungsfähig Bedrohungsakteure agieren. Unternehmen sollten daher ihre Sicherheitsrichtlinien kontinuierlich überprüfen und moderne Schutzmechanismen wie Phishing-resistente Authentifizierungsmethoden einsetzen. Der Device Code Flow sollte möglichst vollständig deaktiviert werden, um Angriffe zu verhindern. Durch die konsequente Umsetzung von Conditional Access Policies und eine klare Risikobewertung kann das Bedrohungspotenzial deutlich reduziert werden. Die jüngsten Entwicklungen rund um Storm-2372 zeigen, dass diese Bedrohung real ist und Unternehmen schnell reagieren müssen, um ihre digitalen Identitäten effektiv zu schützen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/02/a4/02a403ecfc01b1c479f5f8f8cbcf8ce5/0129088931v2.jpeg "Nur 15 bis 25 Prozent der Unternehmen haben NIS-2 umgesetzt, mangelnde Transparenz über IT-Landschaften und fehlende kontinuierliche Überwachung blockieren Compliance. (Bild: © Muhammad - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b2/8e/b28e6468cb67adb305d0d777462bc156/0121168009v2.jpeg "Ein Zugang zu einem Konto mit Administrator-Rechten ist der Jackpot für jeden Cyberkriminellen. Mit Microsoft Entra Privileged Identity Management lässt sich ein wirksamer Schutz gegen Mißbrauch etablieren. (Bild: Zaleman - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/99/df/99dfa99f55a5bfa37701cf1577e5070a/0123284965v1.jpeg "Device Code-Phishing kann für Unternehmen eine echte Gefahr darstellen.(Bild: Joos / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b4/92/b492dea3fb0495914282f19e4188bf1c/0123284966v1.jpeg "Conditional Access kann beim Schutz gegen Device Code Login-Phishing helfen.(Bild: Joos / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/8a/2b/8a2b9e46d424784eaa457dd16ae21f8f/0123284967v1.jpeg "Über Microsoft Intune lassen sich ebenfalls Richtlinien zum Schutz gegen Device Code Login-Phishing umsetzen.(Bild: Joos / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/4d/5c/4d5c866a342740ebd31929c994e4c17f/0118693876v2.jpeg "Mit Microsoft Entra ID Protection lassen sich Benutzerkonten in Azure AD/Entra ID vor Phishishing-Angriffen, unberechtigten Zugriffen und anderen Risiken schützen. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/fb/a4fb1ccd803728b4933845eba3ec9b20/0115710294.jpeg "Die Umsetzung von Zero-Trust in Azure und Microsoft 365 bedeutet, dass alle Zugriffe explizit verifiziert werden müssen und nur mit den geringsten Rechten erfolgen dürfen. (Bild: Val Thoermer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/a4/ffa4bf35c7597a0caad09638cee1778a/0121813103v2.jpeg "Mit der verpflichtenden Multifaktor-Authentifizierung für das Microsoft 365 Admin Center will Microsoft das Risiko von Kontokompromittierungen verringern. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f3/7a/f37a084ed1eddc4d69662a0f7c4cabac/0121432647v1.jpeg "Die Zeit drängt: Microsoft hat seit Juli 2024 die MFA-Pflicht für Break Glas-Accounts in Azure und Microsoft 365 eingeführt und bis Ende 2024 sollten alle Unternehmen spätestens ihre Notfallzugänge umgestellt haben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/79/79/7979624f016e7e6caa1e5ca39184c625/0127749320v2.jpeg "KI verändert die Angriffstaktiken: Gezielte Phishing-Mails und manipulierte OAuth-Anmeldungen ermöglichen den Zugriff auf Microsoft-365- und Azure-Konten. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/07/330715e07e85cb5ab855b87277dd2bd8/0123215790v2.jpeg "Entra ID und Microsoft 365 mit Passkeys nutzen: So geht’s. (Bild: BillionPhotos.com - stock.adobe.com)")