Preuve hat eine neue angriffskampagne aufgedeckt, bei der kriminelle unter anderem sharepoint missbrauchen, um m365-konten zu komprotieren.
Bedrohungsakteure Haben Einen Neuen, Smartten Weg Aufgetan, Microsoft-365-Konten Zu Komprotieren. Wie Proofpoint Herausgefunden Hat, Erstellen Sie Dazu Zunehmend Gefälschte oauth-anwentenngen, die vertrauenswürdige marques wie sharepoint und docusign imitieren. Die «Originale» Dieser Apps Nutzen Die Identity-plaattform von Microsoft (Azure AD / ENTRA ID), UM AUF DATEN AUS Microsoft 365, OneDrive, Outlook, Teams Oder SharePoint Zuzugreifen. Das Ziel Besteht Darin, Die Benutzer Dazu Zu Verleiten, Die Zugriffsanfragen der Fake-Apps Anzunehmen – und Damit Ihre Kontodaten Zu KOMPROMITTIEREN.
«Wir Haben Ein Ganzes Cluster von Aktivitäten Identifiziert, Bei Dennen Angreifer Gefälschte Microsoft Oauth-Apps und Weiterleitungen auf Bösartige URLS erstellen, Um anmeldedaten zu erlangen», Erklärt Proovepoint dans Einem Blogbeitrag.
So funktioniert der mfa-bypass für m365
Laut Proofpoint Verwenden Die Gefälschten Apps Dabei überzEugend Gestaltete Logos und BerechtigungsauffOrderungen. Bestätigt ein benutzer eine so fingierte anfrage, wird er über captcha auf eine gefälschte Microsoft-anmeldeseite weitergeleitet. Dieser Schritt DIent Laut Proofpoint Point ALS Anti-Bot-Maßnahme. SIE SOLL VERHINDERN, DASS Automatisierte Scanner Den Agriff Erkennen Können. Im Hintergrund Erfassen Allerdings Phishing-kits wie Tycoon oder odx sowohl login-daten als auch sitzungs-token. Das Ertöglicht den Angreifern, die Multi-faktor-Authentifizierung Zu Umgehen und Sich Dauerhaften Zugriff Auf Microsoft-365-Konten Zu Verschaffen. «Den Könnten Die Angreifer Dazu Nutzen, Informationen Zu Sammeln, Sich latérale Durch Netzwerke Zu Bewegen, Malware Zu Installieren Oder über KOMPROMITTIERTE Accounts Zusätzliche Phishing-Angriffe Anzustoßen», Screiben Die Security-Experten.
SIE BETONEN, DASS Diese angriffsmethode belonders gefährlich sei, da oauth-token ach nach einem passwort-reset Erhalten bliben: «Selbst wenn ein so komprotierter benutzer sein passwort ändert, könennen angreifer weiterhin die gwrenter, bewrtent nutzen.
Im Rahmen Dieser Kampagne Werden Laut Dem Sicherheitsanbieter Insgesamt über 50 Bekannte Brands Misbraucht, Darunter RingCentral, SharePoint, Adobe und Docusign. Einige der Köder Fordten Dabei Scheinbar Harmlose Berechtigungen an, wie « ihr profil anzeigen » oder « Zugriff auf daten behalten, auf die sie zugriff gewährt Haben ».
Proofpoint Empfiehlt Unternehmen Angesichts dieser erkenntnisse:
- WirksAm Maßnahmen Gegen Business E-Mail Compromis (BEC) ZU Implevantieren,
- Unbefugte Zugriffe auf Cloud-Umbungen Zu Blockieren, Sowie
- Potenziell bösartige liens dans les e-mails zu isieren.
Darüber Hinaus Könte es laut den experten auch hilfreich sein, die benutzer über die Sicherheitsrisiken von Microsoft 365 aufzuklären und die Authentifizierung mit Physischen SicherHeheitschlüsseln auf fido-bass zu stärken, so proofpoint. Die Sécurité-Experten Haben Ihre Erkenntnisse Bereits Anfang 2025 Un Microsoft übermittelt. Die redmonder Haben daraufhin ihrerseits im juli 2025 damit Begonnen, änderungen an denfault-einstelnggen von Microsoft 365 Ausurollen. Diese Sollen ES Künftig Deutlich Erschweren, den Zugriff auf drittanbieter-apps auf die beschriebene art und Weise zu missbrauchen. (TF / FM)
