Thought Leadership
Eine mutmaßlich russische Hackergruppe namens Storm-237 hat eine Phishing-Kampagne gestartet, die sich gezielt gegen Microsoft 365-Konten richtet. Die Angreifer nutzen dabei eine eigentlich für Geräte ohne Tastatur gedachte Authentifizierungsmethode aus, wie Microsoft nun berichtet.
Die Kampagne zielt vor allem auf Organisationen in kritischen Sektoren wie Regierung, Verteidigung, Telekommunikation und Energiewirtschaft. Betroffen sind Einrichtungen in Europa, Nordamerika, Afrika und dem Nahen Osten.
Die Angreifer gehen geschickt vor: Zunächst kontaktieren sie ihre Opfer über Messaging-Dienste wie WhatsApp, Signal oder Microsoft Teams und geben sich als relevante Persönlichkeiten aus. Nach dem Aufbau eines Vertrauensverhältnisses folgt eine gefälschte Einladung zu einem Online-Meeting.
Der eigentliche Trick liegt in der Verwendung des sogenannten Device-Codes. Diese Authentifizierungsmethode ist eigentlich für Geräte wie Smart-TVs gedacht, die keine direkte Passworteingabe ermöglichen. Durch den Autorisierungscode können Nutzer sich auf einem separaten Gerät wie einem Smartphone oder Computer anmelden. Die Hacker generieren einen solchen Code und fügen ihn der Meeting-Einladung bei. Gibt das Opfer diesen Code auf der legitimen Microsoft-Anmeldeseite ein, erhält die Gruppe Zugriff auf dessen Microsoft-365-Dienste.
Die Angreifer nutzen eine spezielle Client-ID des Microsoft Authentication Brokers, die es ihnen ermöglicht, neue Token zu generieren und Geräte in Microsoft Entra ID zu registrieren. Dies verschafft ihnen langfristigen Zugriff auf die kompromittierten Konten und ermöglicht das systematische Abgreifen von E-Mails.
Schutzmaßnahmen
Microsoft empfiehlt folgende Gegenmaßnahmen:
- Deaktivierung des Device-Code-Flows wo möglich
- Implementierung strikter Conditional Access Policies in Microsoft Entra ID
- Bei Verdacht: Sofortiges Zurücksetzen der Refresh-Tokens mittels ‚revokeSignInSessions‘
- Regelmäßige Überwachung der Entra-ID-Anmeldeprotokolle auf verdächtige Aktivitäten
