Bedrohungsakteure haben einen neuen, smarten Weg aufgetan, Microsoft-365-Konten zu kompromittieren. Wie Proofpoint herausgefunden hat, erstellen sie dazu zunehmend gefälschte OAuth-Anwendungen, die vertrauenswürdige Brands wie SharePoint und DocuSign imitieren. Die “Originale” dieser Apps nutzen die Identity-Plattform von Microsoft (Azure AD / Entra ID), um auf Daten aus Microsoft 365, OneDrive, Outlook, Teams oder SharePoint zuzugreifen. Das Ziel besteht darin, die Benutzer dazu zu verleiten, die Zugriffsanfragen der Fake-Apps anzunehmen – und damit ihre Kontodaten zu kompromittieren.

“Wir haben ein ganzes Cluster von Aktivitäten identifiziert, bei denen Angreifer gefälschte Microsoft OAuth-Apps und Weiterleitungen auf bösartige URLs erstellen, um Anmeldedaten zu erlangen”, erklärt Proofpoint in einem Blogbeitrag.

So funktioniert der MFA-Bypass für M365

Laut Proofpoint verwenden die gefälschten Apps dabei überzeugend gestaltete Logos und Berechtigungsaufforderungen. Bestätigt ein Benutzer eine so fingierte Anfrage, wird er über Captcha auf eine gefälschte Microsoft-Anmeldeseite weitergeleitet. Dieser Schritt dient laut Proofpoint als Anti-Bot-Maßnahme. Sie soll verhindern, dass automatisierte Scanner den Angriff erkennen können. Im Hintergrund erfassen allerdings Phishing-Kits wie Tycoon oder ODx sowohl Login-Daten als auch Sitzungs-Token. Das ermöglicht den Angreifern, die Multi-Faktor-Authentifizierung zu umgehen und sich dauerhaften Zugriff auf Microsoft-365-Konten zu verschaffen. “Den könnten die Angreifer dazu nutzen, Informationen zu sammeln, sich lateral durch Netzwerke zu bewegen, Malware zu installieren oder über kompromittierte Accounts zusätzliche Phishing-Angriffe anzustoßen”, schreiben die Security-Experten.

Sie betonen, dass diese Angriffsmethode besonders gefährlich sei, da OAuth-Token auch nach einem Passwort-Reset erhalten blieben: “Selbst wenn ein so kompromittierter Benutzer sein Passwort ändert, können Angreifer weiterhin die gewährten Berechtigungen nutzen. Und sind damit in der Lage auf E-Mails, Dateien und weitere Cloud-Dienste zuzugreifen – bis der OAuth-Token widerrufen wird”, warnt Proofpoint.

Im Rahmen dieser Kampagne werden laut dem Sicherheitsanbieter insgesamt über 50 bekannte Brands missbraucht, darunter RingCentral, SharePoint, Adobe und DocuSign. Einige der Köder forderten dabei scheinbar harmlose Berechtigungen an, wie “Ihr Profil anzeigen” oder “Zugriff auf Daten behalten, auf die Sie Zugriff gewährt haben”.

Proofpoint empfiehlt Unternehmen angesichts dieser Erkenntnisse:

• wirksame Maßnahmen gegen Business E-Mail Compromise (BEC) zu implementieren,
• unbefugte Zugriffe auf Cloud-Umgebungen zu blockieren, sowie
• potenziell bösartige Links in E-Mails zu isolieren.

Darüber hinaus könnte es laut den Experten auch hilfreich sein, die Benutzer über die Sicherheitsrisiken von Microsoft 365 aufzuklären und die Authentifizierung mit physischen Sicherheitsschlüsseln auf FIDO-Basis zu stärken, so Proofpoint. Die Security-Experten haben ihre Erkenntnisse bereits Anfang 2025 an Microsoft übermittelt. Die Redmonder haben daraufhin ihrerseits im Juli 2025 damit begonnen, Änderungen an den Default-Einstellungen von Microsoft 365 auszurollen. Diese sollen es künftig deutlich erschweren, den Zugriff auf Drittanbieter-Apps auf die beschriebene Art und Weise zu missbrauchen. (tf/fm)