Microsoft warnt vor neuer OAuth-Phishing-Technik, die vertrauenswürdige Anmeldeumleitungen missbraucht

/de/images/microsoft-oauth-phishing-attack.jpg

Microsoft nimmt die Sicherheit ernst und hat kürzlich eine neue Onboarding-Erfahrung für die Defender-Bereitstellung eingeführt. Nun warnt das Unternehmen vor einer ausgeklügelten OAuth-Phishing-Technik, die legitime Authentifizierungsflüsse missbraucht.

OAuth-Umleitungsfunktion, die in Phishing-Kampagnen verwendet wird

Forscher von Microsoft Defender haben Phishing-Kampagnen aufgedeckt, die das integrierte Umleitungsverhalten von OAuth missbrauchen, um Malware zu verbreiten und Opfer auf bösartige Websites umzuleiten.

Wichtig ist, dass der Angriff das OAuth-Protokoll nicht bricht und Authentifizierungstoken nicht direkt stiehlt. Stattdessen nutzt es die Art und Weise aus, wie OAuth Fehlerumleitungsströme verarbeitet, und missbraucht dabei bereits vorhandenes Verhalten.

So funktioniert die OAuth-Phishing-Technik

Angreifer registrieren zunächst eine bösartige OAuth-Anwendung in ihrem eigenen Microsoft- oder Google-Mandanten. Sie konfigurieren den Umleitungs-URI der App so, dass er auf eine von ihnen kontrollierte Domäne verweist.

Als Nächstes generieren sie einen manipulierten OAuth-Anmeldelink, der legitim erscheint und häufig vertrauenswürdige Domänen wie login.microsoftonline.com verwendet. Der Link enthält bestimmte Parameter, die einen stillen Authentifizierungsfehler auslösen sollen, z. B. die Verwendung von prompt=none oder die Anforderung eines ungültigen Bereichs.

Opfer erhalten den Link über Phishing-E-Mails, die als E-Signatur-Anfragen, Teams-Einladungen oder Benachrichtigungen zum Zurücksetzen von Passwörtern getarnt sind. Wenn das Opfer auf den Link klickt, wird ein echter Microsoft- oder Google-Anmeldeendpunkt geöffnet.

Der Identitätsanbieter verarbeitet die Anfrage und stellt einen Authentifizierungsfehler fest. Da OAuth darauf ausgelegt ist, Benutzer im Falle eines Fehlers zurück zum registrierten Umleitungs-URI der Anwendung umzuleiten, wird der Browser automatisch an die vom Angreifer kontrollierte Domäne gesendet.

Dadurch entsteht eine überzeugende Angriffskette, bei der das Opfer ohne offensichtliche Warnzeichen von einer vertrauenswürdigen Authentifizierungsseite auf eine bösartige Website wechselt.

Malware-Bereitstellung und Credential Harvesting

Nach der Umleitung können Angreifer automatisch einen Download einer ZIP-Datei mit Malware auslösen oder eine Phishing-Seite präsentieren, die Anmeldeinformationen und Sitzungscookies erfasst.

In fortgeschritteneren Fällen führt die heruntergeladene Nutzlast PowerShell-Befehle aus, führt eine Systemerkundung durch, lädt eine schädliche DLL von der Seite und stellt eine Verbindung zu einem Befehls- und Kontrollserver her.

Durch diese Technik können Angreifer Anmeldeinformationen, Sitzungszugriff oder sogar Endpunktkontrolle erlangen, ohne eine Softwareschwachstelle auszunutzen.

Die Methode bietet auch Aufklärungsvorteile. Fehlerantworten während des OAuth-Ablaufs können Aufschluss darüber geben, ob ein Konto existiert oder ob eine interaktive Authentifizierung erforderlich ist, was Angreifern zusätzliche Informationen liefert.

Microsoft-Anleitung zur Reaktion und Schadensbegrenzung

Microsoft hat bereits mehrere schädliche OAuth-Anwendungen deaktiviert, die mit diesen Kampagnen verknüpft sind. Das Unternehmen stellt jedoch fest, dass weiterhin ähnliche Aktivitäten auftauchen und einer kontinuierlichen Überwachung bedürfen.

Um das Risiko zu reduzieren, empfiehlt Microsoft eine strikte Steuerung von OAuth-Anwendungen, die Einschränkung der Benutzereinwilligungsberechtigungen und die routinemäßige Überprüfung von App-Registrierungen und gewährten Bereichen. Administratoren sollten außerdem Richtlinien für bedingten Zugriff anwenden, um den Missbrauch vertrauenswürdiger Identitätsweiterleitungen einzuschränken.

Das Unternehmen hat in seinem offiziellen Blog detaillierte Sicherheitsleitfäden veröffentlicht, um Organisationen dabei zu helfen, den Schutz vor dieser aufkommenden Bedrohung zu stärken.

Im Rahmen verwandter Entwicklungen hat Microsoft kürzlich die Sicherheit von Windows Server 2026 durch eine neue Basiskonfiguration verbessert und die veraltete, auf Anmeldeinformationen basierende Unterstützung für Exchange Online PowerShell zugunsten der Multi-Faktor-Authentifizierung aufgegeben und damit seinen umfassenderen Vorstoß in Richtung einer stärkeren Identitätssicherheit verstärkt.

*️⃣ Quelllink:

Onboarding-Erfahrung bei der Defender-Bereitstellung, ausführliche Sicherheitshinweise im offiziellen Blog, verbesserte Windows Server 2026-Sicherheit, anmeldeinformationsbasierte Unterstützung für Exchange Online PowerShell,