Microsoft 365: Neue Angriffswelle umgeht Zwei-Faktor-Authentifizierung

Cyberkriminelle haben ihre Taktik gegen Microsoft 365 dramatisch verfeinert. Gleich zwei unabhängige Sicherheitswarnungen innerhalb von 24 Stunden zeigen: Die Zwei-Faktor-Authentifizierung (2FA) schützt nicht mehr so zuverlässig wie bisher angenommen.

Am gestrigen Donnerstag enthüllten Forscher von KnowBe4 eine raffinierte Phishing-Kampagne mit präparierten PDF-Dateien. Fast zeitgleich warnte heute das Sicherheitsunternehmen Barracuda Networks vor massenhaft missbrauchten Fernwartungs-Tools. Beide Angriffsvektoren zielen auf denselben Punkt: Zugang zu Unternehmenskonten trotz aktivierter Sicherheitsmaßnahmen.

Besonders brisant: Die Attacken trafen Unternehmen in einer Phase, in der Microsoft-Sicherheitsteams teilweise blind waren. Ein mehrstündiger Ausfall des Defender-Portals am Dienstag dürfte den Angreifern zusätzlich in die Karten gespielt haben.

Moderne Phishing-Kampagnen umgehen selbst Zwei-Faktor-Authentifizierung und nutzen gefälschte PDFs, um Zugangsdaten zu erbeuten. Unser kostenloses Anti-Phishing-Paket bietet eine leicht umsetzbare 4‑Schritte-Anleitung, erklärt die aktuellsten psychologischen Tricks (inkl. CEO-Fraud) und zeigt konkrete Kontrollmaßnahmen für IT-Verantwortliche. Mit Checklisten zur Abwehr, Musterregeln und Sofortmaßnahmen reduzieren Sie das Risiko dauerhafter Hintertüren wie ScreenConnect. Ideal für Sicherheitsverantwortliche in allen Unternehmensgrößen, die schnell konkrete Maßnahmen benötigen. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

KnowBe4 Threat Labs taufte die neue Angriffswelle “The Ghost in the Machine” – der Geist in der Maschine. Seit Anfang November aktiv, erreichte die Kampagne in den vergangenen 72 Stunden einen neuen Höhepunkt.

Die Angriffskette beginnt harmlos: Eine E-Mail mit PDF-Anhang landet im Postfach. Doch diese Datei ist alles andere als gewöhnlich. Statt direkt Schadcode auszuführen, nutzt sie legitime Content-Delivery-Networks (CDNs), um ihren wahren Zweck zu verschleiern.

Raffinierter noch: Die PDF-Datei prüft zunächst, ob ein echter Mensch sie öffnet. Maus-Tracking-Skripte unterscheiden zwischen menschlichen Nutzern und automatisierten Sicherheitssystemen. Automatische Scanner laufen ins Leere – sie sehen nur eine harmlose Datei.

“Diese Kampagne wurde gezielt entwickelt, um traditionelle E-Mail-Sicherheitssysteme transparent zu umgehen”, erklärten die KnowBe4-Analysten in ihrem Bericht vom Donnerstag. Sobald das Opfer seine Microsoft-365-Zugangsdaten eingibt, nutzt die gefälschte Webseite legitime Microsoft-Server, um die Zwei-Faktor-Authentifizierung zu umgehen.

Das Ergebnis: Angreifer erhalten sofortigen und vollständigen Zugriff auf das Unternehmenskonto. Business-Email-Compromise-Attacken, Datendiebstahl oder die Verbreitung von Ransomware im gesamten Netzwerk – alles wird möglich.

ScreenConnect im Visier: Fernwartungs-Software als Hintertür

Die zweite Bedrohung folgte heute auf dem Fuß. Barracuda Networks identifizierte einen sprunghaften Anstieg bei Angriffen über ScreenConnect, ein weit verbreitetes Fernwartungs-Tool für IT-Abteilungen.

Das Muster ist besorgniserregend: Nachdem Angreifer Zugangsdaten erbeutet haben – möglicherweise durch Kampagnen wie die von KnowBe4 beschriebene –, installieren sie ScreenConnect als dauerhafte Hintertür. Selbst wenn kompromittierte Passwörter zurückgesetzt werden, bleibt der Zugang bestehen.

Barracuda-Forscher beobachteten parallel dazu massenhaft Login-Versuche bei Microsoft 365 von “ungewohnten Standorten”. Die Hypothese: Eine koordinierte Offensive, bei der Credential-Diebstahl und Remote-Access-Missbrauch Hand in Hand gehen.

“Angreifer sind zunehmend in der Lage, Entdeckung zu vermeiden, indem sie Tools und gültige Zugangsdaten ausnutzen, die Unternehmen routinemäßig verwenden”, so die Warnung. Das Problem: Bösartiger Datenverkehr tarnt sich als legitime Administratoraktivität.

Besonders gefährdet sind ältere, ungepatchte ScreenConnect-Versionen. Doch selbst aktuelle Installationen bieten keine Garantie – Angreifer bringen die Software auf bereits kompromittierten Endgeräten einfach selbst mit.

Defender-Ausfall zur Unzeit: Zehn Stunden ohne Sicht

Das Timing hätte kaum ungünstiger sein können. Am Dienstag fiel das Microsoft-Defender-Portal für über zehn Stunden aus (Incident ID DZ1191468). Security Operations Centers weltweit verloren den Zugriff auf kritische Bedrohungs-Management-Tools – ausgerechnet während die Angriffswelle anlief.

Zwar hat Microsoft den Zugang mittlerweile wiederhergestellt, doch der temporäre Blindflug dürfte einigen Eindringlingen die initiale Infiltrationsphase erleichtert haben.

Einen Tag später, am Mittwoch, kam eine weitere Enthüllung ans Licht: Microsoft hatte “stillschweigend” eine jahrelang bekannte Sicherheitslücke in Windows-Verknüpfungsdateien (LNK) gepatcht. Die als CVE-2025-9491 erfasste Schwachstelle erlaubte es Angreifern, Schadcode in LNK-Dateien mit Whitespace-Zeichen zu verstecken – eine Technik, die nachweislich von staatlich unterstützten Hackergruppen genutzt wurde.

Der Patch war bereits im November-Update enthalten, wurde aber erst diese Woche nach Druck aus der Security-Community öffentlich kommuniziert. Ein weiterer Beleg dafür, wie verborgen manche Risiken im Microsoft-Ökosystem bleiben.

Das Ende der MFA-Sicherheit?

Die Ereignisse markieren eine Zäsur: Die Ära “MFA-resistenter” Phishing-Angriffe ist endgültig angebrochen.

“Wir beobachten eine rapide Professionalisierung von Phishing-as-a-Service-Angeboten”, erklärt Sarah Jenkins, Senior Threat Analyst bei einem Londoner Cybersecurity-Unternehmen. “Vor zwei Jahren war MFA die Wunderwaffe. Heute ist es für entschlossene Angreifer mit Adversary-in-the-Middle-Toolkits und ausgefeiltem Social Engineering bestenfalls eine Geschwindigkeitsbremse.”

Die “Nested PDF”-Technik ist besonders heimtückisch, weil sie das Vertrauen in Standarddokumente ausnutzt. Automatisierte Scanner können menschliches Verhalten wie Mausbewegungen nicht präzise nachahmen – genau darauf spekulieren die Angreifer. Bis das Opfer Verdacht schöpft, ist der Session-Token längst gestohlen und vom Angreifer wiederverwendet.

Der ScreenConnect-Missbrauch zeigt zudem: Credential-Diebstahl ist nicht mehr das Endziel, sondern nur der Türöffner. Persistenz lautet das neue Zauberwort – ein dauerhafter Zugang, der Passwort-Resets widersteht.

Verhaltensbasierte Abwehr: Der neue Standard

Experten rechnen damit, dass die diese Woche beobachteten Techniken – insbesondere die Nutzung legitimer CDNs und verhaltensbasierte Phishing-Seiten – bis Anfang 2026 zum Standardrepertoire kommerzieller Phishing-Kits im Darknet gehören werden.

Dezember gilt traditionell als Hochsaison für Cyberangriffe, da viele Unternehmen während der Feiertage mit reduziertem Personal arbeiten. Sicherheitsverantwortliche sollten jetzt handeln:

URL-Scanning reicht nicht mehr: Verhaltensanalyse-Tools müssen her, die anomale Nutzeraktivitäten erkennen – etwa unmögliche Reisegeschwindigkeiten zwischen Login-Standorten oder plötzliche Remote-Access-Installationen.

Remote-Access-Richtlinien verschärfen: Alle ScreenConnect-Installationen überprüfen. Nicht autorisierte Fernzugriffssoftware auf Netzwerkebene blockieren.

Mailbox-Berechtigungen auditieren: Regelmäßig prüfen, ob neue Weiterleitungsregeln oder Berechtigungsänderungen in Microsoft-365-Postfächern aufgetaucht sind – typische Indikatoren erfolgreicher Kompromittierung.

Schulungen aktualisieren: Mitarbeiter gezielt über die Gefahren von PDF-Anhängen informieren, die Authentifizierung anfordern oder sich ungewöhnlich verhalten.

Die letzten 72 Stunden liefern eine unmissverständliche Botschaft: Statische Abwehrmechanismen und Standard-2FA reichen nicht mehr aus, um die digitale Perimeter zu schützen. Wer sich darauf verlässt, hat bereits verloren.

PS: Wussten Sie, dass viele Phisher fertige Kits verkaufen, die genau solche PDF‑Tricks und Remote‑Access‑Missbrauch enthalten? Dieses Anti‑Phishing‑Paket analysiert aktuelle Angriffs‑Patterns, liefert branchenspezifische Präventionsschritte und Praxistipps zur Erkennung verdächtiger Login‑Muster. Fordern Sie den Gratis‑Report an und rüsten Sie Ihr Team mit Checklisten und Handlungsempfehlungen aus, bevor Angreifer persistente Zugänge einrichten. Jetzt Anti‑Phishing‑Report anfordern