Phishing über Microsoft-Device-Codes : EvilTokens: Phishing-Kampagne missbraucht Microsoft-Logins und hebelt Zwei-Faktor-Schutz aus

Der entscheidende Hebel ist der OAuth-Device-Code-Flow von Microsoft. Dieser Mechanismus wurde ursprünglich für Geräte mit eingeschränkten Eingabemöglichkeiten entwickelt, etwa Smart-TVs, Drucker oder IoT-Hardware: Das Gerät fordert einen Code an, der Nutzer gibt diesen auf einer Microsoft-Seite ein und autorisiert die Anmeldung.

Bei EvilTokens missbrauchen die Angreifer genau diesen Ablauf. Laut Sekoia prüfen sie zunächst über eine reguläre Microsoft-Funktion, ob ein Konto existiert – häufig schon Tage vor dem eigentlichen Angriff. Anschließend starten sie selbst eine Anmeldesitzung und lassen sich von Microsoft einen Device Code generieren. Der entscheidende Punkt: Dieser Code ist der Sitzung des Angreifers zugeordnet.

Per E-Mail, Einladung oder vermeintlicher Unternehmensmitteilung wird das Opfer aufgefordert, eine Validierung bei Microsoft abzuschließen, ein Dokument freizugeben oder eine Signatur zu leisten. Ein Klick führt auf das echte Microsoft-Portal – Domain, Verschlüsselung und Authentifizierungsablauf sind legitim. Gibt das Opfer den Code ein, verknüpft es unbemerkt sein Konto mit der Sitzung des Angreifers. Microsoft stellt daraufhin gültige Access- und Refresh-Token aus, die jedoch beim Kriminellen landen. Damit erhält dieser dauerhaften Zugriff auf E-Mails, Dateien und weitere Cloud-Dienste ohne je das Passwort gekannt zu haben.

Warum klassische Warnsignale fehlen

Die Tücke der Methode liegt darin, dass die typischen Hinweise auf Phishing fehlen. Es gibt keine verdächtigen Domains, keine Rechtschreibfehler, kein schlechtes Design. Der gesamte Vorgang findet innerhalb der Microsoft-Infrastruktur statt, inklusive einer von Microsoft selbst ausgestellten MFA-Bestätigung.

„Viele Sicherheitsregeln basieren auf der Annahme, dass gefälschte Webseiten oder gestohlene Passwörter die größte Gefahr darstellen. EvilTokens zeigt, dass Angreifer inzwischen legitime Dienste missbrauchen und das Vertrauen der Nutzer in bekannte Plattformen gezielt ausnutzen”, so Plum.

Nach Einschätzung von Sekoia und Help Net Security zielen die Kriminellen bevorzugt auf Beschäftigte in Finanz-, Personal- und Logistikabteilungen sowie auf Führungskräfte. Ein erfolgreich übernommenes Konto eröffnet die Möglichkeit für gezielte Folgeangriffe, etwa Business E-Mail Compromise (BEC).

Empfehlungen für Nutzer und Unternehmen

ESET rät, unerwartete Aufforderungen zur Eingabe eines Authentifizierungs- oder Device Codes grundsätzlich zu hinterfragen. Kein seriöses Dokument und keine seriöse Plattform sollte die Eingabe eines Codes ohne klaren Kontext verlangen. Nutzer sollten prüfen, welche Anwendung Zugriff anfordert und zu welchem Zweck.

Administratoren können die Angriffsfläche verringern, indem sie den Device-Code-Flow in der Microsoft-Umgebung deaktivieren, sofern er nicht benötigt wird. Proofpoint empfiehlt nach Berichten von Infosecurity Magazine zudem Conditional-Access-Richtlinien, die den Device-Code-Flow vollständig sperren oder auf zugelassene Nutzer und IP-Bereiche beschränken. Eine regelmäßige Kontrolle der zuletzt autorisierten Geräte und das Beenden nicht mehr benötigter Sitzungen reduziere das Risiko zusätzlich. Erzeugen Nachrichten Zeitdruck oder fordern eine sofortige Bestätigung, sei besondere Vorsicht angebracht. Im Zweifel sollte der vermeintliche Absender über einen separaten Kanal kontaktiert werden.

Unternehmen sollten ihre Beschäftigten gezielt für diese neue Phishing-Variante schulen. Die zentrale Botschaft: Eine echte Microsoft-Anmeldeseite bedeutet nicht automatisch, dass auch die dahinterstehende Anfrage legitim ist.

Eine ausführliche technische Analyse der Kampagne hat ESET im hauseigenen Blog veröffentlicht: EvilTokens auf welivesecurity.de.