{"id":4235,"date":"2025-08-04T14:14:47","date_gmt":"2025-08-04T14:14:47","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=4235"},"modified":"2025-08-04T14:14:47","modified_gmt":"2025-08-04T14:14:47","slug":"oauth-apps-fur-m365-phishing-missbraucht","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=4235","title":{"rendered":"OAuth-Apps f\u00fcr M365-Phishing missbraucht"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<p>Gef\u00e4lschte OAuth-Apps er\u00f6ffnen Angreifern neue Wege, um Microsoft-Konten zu kapern.<\/p>\n<p class=\"imageCredit\"> janews \u2013 Shutterstock.com<\/p>\n<\/div>\n<p>Bedrohungsakteure haben einen neuen, smarten Weg aufgetan, <a href=\"https:\/\/www.csoonline.com\/article\/4007530\/erster-zero-click-angriff-auf-microsoft-365-copilot.html\" target=\"_blank\" rel=\"noopener\">Microsoft-365-Konten zu kompromittieren<\/a>. Wie Proofpoint herausgefunden hat, erstellen sie dazu zunehmend <a href=\"https:\/\/www.csoonline.com\/article\/3494981\/bosartige-oauth-apps-cyberangreifer-missbrauchen-microsoft-privilegien.html\" target=\"_blank\" rel=\"noopener\">gef\u00e4lschte OAuth-Anwendungen<\/a>, die vertrauensw\u00fcrdige Brands wie SharePoint und DocuSign imitieren. Die \u201cOriginale\u201d dieser Apps nutzen die Identity-Plattform von Microsoft (Azure AD \/ Entra ID), um auf Daten aus Microsoft 365, OneDrive, Outlook, Teams oder SharePoint zuzugreifen. Das Ziel besteht darin, die Benutzer dazu zu verleiten, die Zugriffsanfragen der Fake-Apps anzunehmen \u2013 und damit ihre Kontodaten zu kompromittieren.<\/p>\n<p>\u201cWir haben ein ganzes Cluster von Aktivit\u00e4ten identifiziert, bei denen Angreifer gef\u00e4lschte Microsoft OAuth-Apps und Weiterleitungen auf b\u00f6sartige URLs erstellen, um Anmeldedaten zu erlangen\u201d, erkl\u00e4rt Proofpoint in einem <a href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/microsoft-oauth-app-impersonation-campaign-leads-mfa-phishing\" target=\"_blank\" rel=\"noopener\">Blogbeitrag<\/a>.<\/p>\n<h2 class=\"wp-block-heading\"><strong>So funktioniert der MFA-Bypass f\u00fcr M365<\/strong><\/h2>\n<p>Laut Proofpoint verwenden die gef\u00e4lschten Apps dabei \u00fcberzeugend gestaltete Logos und Berechtigungsaufforderungen. Best\u00e4tigt ein Benutzer eine so fingierte Anfrage, wird er \u00fcber Captcha auf eine gef\u00e4lschte Microsoft-Anmeldeseite weitergeleitet. Dieser Schritt dient laut Proofpoint als Anti-Bot-Ma\u00dfnahme. Sie soll verhindern, dass automatisierte Scanner den Angriff erkennen k\u00f6nnen. Im Hintergrund erfassen allerdings Phishing-Kits wie Tycoon oder ODx sowohl Login-Daten als auch Sitzungs-Token. Das erm\u00f6glicht den Angreifern, die <a href=\"https:\/\/www.computerwoche.de\/article\/2804791\/wie-mfa-gehackt-wird.html\" target=\"_blank\" rel=\"noopener\">Multi-Faktor-Authentifizierung zu umgehen<\/a> und sich dauerhaften Zugriff auf Microsoft-365-Konten zu verschaffen. \u201cDen k\u00f6nnten die Angreifer dazu nutzen, Informationen zu sammeln, sich lateral durch Netzwerke zu bewegen, Malware zu installieren oder \u00fcber kompromittierte Accounts zus\u00e4tzliche Phishing-Angriffe anzusto\u00dfen\u201d, schreiben die Security-Experten.<\/p>\n<p>Sie betonen, dass diese Angriffsmethode besonders gef\u00e4hrlich sei, da OAuth-Token auch nach einem Passwort-Reset erhalten blieben: \u201cSelbst wenn ein so kompromittierter Benutzer sein Passwort \u00e4ndert, k\u00f6nnen Angreifer weiterhin die gew\u00e4hrten Berechtigungen nutzen. Und sind damit in der Lage auf E-Mails, Dateien und weitere Cloud-Dienste zuzugreifen \u2013 bis der OAuth-Token widerrufen wird\u201d, warnt Proofpoint.<\/p>\n<p>Im Rahmen dieser Kampagne werden laut dem Sicherheitsanbieter insgesamt \u00fcber 50 bekannte Brands missbraucht, darunter RingCentral, SharePoint, Adobe und DocuSign. Einige der K\u00f6der forderten dabei scheinbar harmlose Berechtigungen an, wie \u201cIhr Profil anzeigen\u201d oder \u201cZugriff auf Daten behalten, auf die Sie Zugriff gew\u00e4hrt haben\u201d.<\/p>\n<p>Proofpoint empfiehlt Unternehmen angesichts dieser Erkenntnisse:<\/p>\n<p>wirksame Ma\u00dfnahmen gegen <a href=\"https:\/\/www.csoonline.com\/article\/3491751\/schutz-vor-business-e-mail-compromise-8-wichtige-punkte-fur-ihre-bec-richtlinie.html\" target=\"_blank\" rel=\"noopener\">Business E-Mail Compromise<\/a> (BEC) zu implementieren,<\/p>\n<p>unbefugte Zugriffe auf <a href=\"https:\/\/www.csoonline.com\/article\/3495515\/7-fundamentale-cloud-bedrohungen.html\" target=\"_blank\" rel=\"noopener\">Cloud-Umgebungen<\/a> zu blockieren, sowie<\/p>\n<p>potenziell b\u00f6sartige Links in E-Mails zu isolieren.<\/p>\n<p>Dar\u00fcber hinaus k\u00f6nnte es laut den Experten auch hilfreich sein, die Benutzer \u00fcber die Sicherheitsrisiken von Microsoft 365 aufzukl\u00e4ren und die Authentifizierung mit physischen Sicherheitsschl\u00fcsseln auf <a href=\"https:\/\/www.computerwoche.de\/article\/2805130\/endlich-passwortfrei.html\" target=\"_blank\" rel=\"noopener\">FIDO-Basis<\/a> zu st\u00e4rken, so Proofpoint. Die Security-Experten haben ihre Erkenntnisse bereits Anfang 2025 an Microsoft \u00fcbermittelt. Die Redmonder haben daraufhin ihrerseits im Juli 2025 damit begonnen, \u00c4nderungen an den Default-Einstellungen von Microsoft 365 auszurollen. Diese sollen es k\u00fcnftig deutlich erschweren, den Zugriff auf Drittanbieter-Apps auf die beschriebene Art und Weise zu missbrauchen. (tf\/fm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Gef\u00e4lschte OAuth-Apps er\u00f6ffnen Angreifern neue Wege, um Microsoft-Konten zu kapern. janews \u2013 Shutterstock.com Bedrohungsakteure haben einen neuen, smarten Weg aufgetan, Microsoft-365-Konten zu kompromittieren. Wie Proofpoint herausgefunden hat, erstellen sie dazu zunehmend gef\u00e4lschte OAuth-Anwendungen, die vertrauensw\u00fcrdige Brands wie SharePoint und DocuSign imitieren. Die \u201cOriginale\u201d dieser Apps nutzen die Identity-Plattform von Microsoft (Azure AD \/ Entra ID), [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":4236,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4235","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4235"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4235"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4235\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/4236"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4235"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4235"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4235"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}