Microsoft Azure: Neue Phishing-Wellen umgehen Zwei-Faktor-Authentifizierung

Cybersicherheits-Experten warnen eindringlich vor neuen, hochgefährlichen Phishing-Methoden, die gezielt Microsoft Azure- und Microsoft 365-Umgebungen angreifen. Die als „ConsentFix“ und Device-Code-Missbrauch identifizierten Attacken nutzen vertrauenswürdige Workflows aus, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen und Konten zu übernehmen. Die Angriffe markieren einen gefährlichen Trend: Hacker nutzen zunehmend legitime Cloud-Funktionen selbst als Waffe.

„ConsentFix“: Der Angriff aus dem Browser

Eine besonders tückische Methode namens „ConsentFix“ wurde Mitte Dezember von Forschern der Push Security analysiert. Im Gegensatz zu klassischem Phishing, bei dem Passwörter abgegriffen werden, manipuliert dieser Angriff den OAuth-Autorisierungsfluss der Microsoft Azure Command-Line Interface (CLI).

Opfer werden dabei über gefälschte Werbung oder Suchergebnisse auf eine betrügerische Seite gelockt, die einen legitimen Microsoft-Verifizierungsprozess imitiert. Die Anwender werden aufgefordert, einen speziellen URL-Code zu kopieren und in ein Feld der Angreifer-Website einzufügen. Das Fatale: Die Azure CLI gilt innerhalb von Microsoft Entra ID (ehemals Azure AD) als vertrauenswürdige „First-Party“-Anwendung. Dieser Status ermöglicht es den Angreifern, standardmäßige Einwilligungsbeschränkungen zu umgehen. Nach dem Einfügen des Codes erhalten sie ein Token mit Vollzugriff auf das Opferkonto – ohne dass die Zwei-Faktor-Authentifizierung ausgelöst wird.

Phishing-Angriffe wie ConsentFix und der Missbrauch des Device‑Code‑Flows beweisen, dass Standard‑MFA allein nicht schützt. Das kostenlose Anti‑Phishing‑Paket bietet eine sofort anwendbare 4‑Schritte‑Anleitung für Unternehmen: Erkennung manipulierter OAuth‑Flows, Prüfung von App‑Registrierungen, Einschränkung des Device‑Code‑Flows und Awareness‑Checklisten für Mitarbeiter. Ideal für IT‑Verantwortliche, die Microsoft Entra‑Umgebungen absichern müssen. Anti-Phishing-Paket jetzt herunterladen

„Der Angriff findet komplett im Browser-Kontext statt“, so Push Security. „Das entfernt eine der wichtigsten Erkennungsmöglichkeiten, weil der Endpunkt nicht berührt wird.“

Explodierende Angriffe via Device-Code-Flow

Parallel dazu verzeichnet der IT-Sicherheitsanbieter Proofpoint einen dramatischen Anstieg von Phishing-Kampagnen, die den OAuth 2.0 Device Code Flow missbrauchen. Dieser eigentlich für Geräte mit eingeschränkter Eingabemöglichkeit (wie Smart-TVs) gedachte Mechanismus wird von Hackern weaponisiert.

Die Attacke beginnt typischerweise mit einer Phishing-E-Mail über ein angebliches „gemeinsames Dokument“. Klickt der Nutzer den Link, sieht er einen Code und wird auf die legitime Microsoft-Login-Seite microsoft.com/devicelogin weitergeleitet. Dort soll er den Code zur „Re-Authentifizierung“ eingeben. Tut er das, autorisiert er unwissentlich das Gerät des Angreifers für den Zugriff auf sein Konto. Proofpoint zufolge eskaliert die Zahl dieser Angriffe seit September 2025 massiv. Aktuelle Kampagnen nutzen automatisierte Toolkits wie „SquarePhish2“, die nahtlos mit Azure-App-Registrierungen zusammenarbeiten.

So müssen sich Unternehmen jetzt schützen

Die Raffinesse dieser Angriffe macht herkömmliche Perimeter-Verteidigung wirkungslos. Sicherheitsexperten betonen: Standard-MFA hilft gegen Token-Diebstahl und OAuth-Missbrauch nicht. Unternehmen müssen sofort handeln.

• Azure-CLI-Aktivität überwachen: Sicherheitsteams sollten Anmelde-Protokolle auf ungewöhnliche Azure-CLI-Aktivitäten prüfen – besonders von unerwarteten geografischen Standorten. Interaktive Azure-CLI-Logins für Nicht-Entwickler-Konten gelten als verdächtig.
• Device-Code-Flow einschränken: Administratoren sollten den OAuth-Device-Code-Flow für alle Nutzer blockieren, die ihn nicht benötigen. Dies lässt sich über Conditional Access Policies in Microsoft Entra ID konfigurieren.
• App-Registrierungen prüfen: Regelmäßige Audits der Azure-App-Registrierungen sind essenziell. Teams müssen nach ungenutzten oder verdächtigen Anwendungen suchen und den „Herausgeber“ aller Drittanbieter-Apps verifizieren.
• Nutzer sensibilisieren: Security-Awareness-Trainings müssen dringend um Szenarien jenseits des Passwort-Phishings erweitert werden. Nutzer dürfen niemals URLs oder Codes in Eingabefelder kopieren, es sei denn, sie haben die spezifische Anmeldung selbst initiiert.

Angreifer nutzen die Cloud gegen sich selbst

Das Aufkommen von ConsentFix und die Industrialisierung des Device-Code-Phishings markieren eine Zeitenwende in der Bedrohungslandschaft. Angreifer „leben vom Land“, indem sie legitime Cloud-Funktionen ausnutzen, anstatt auf Software-Schwachstellen angewiesen zu sein.

„ConsentFix spiegelt einen breiteren Wandel bei identitätsbasierten Angriffen wider“, analysieren Experten von eSecurity Planet. „Gegner missbrauchen vertrauenswürdige Anwendungen und komfortorientierte Workflows, anstatt direkt Anmeldedaten zu stehlen.“

Dieser Trend unterstreicht die Grenzen des „impliziten Vertrauens“ in Cloud-Umgebungen. Selbst First-Party-Tools wie die Azure CLI, die für die Administration unverzichtbar sind, können zur Gefahr werden, wenn ihre Nutzung nicht streng geregelt und überwacht wird. Gleichzeitig sinkt die Einstiegshürde für Cyberkriminelle, da immer ausgefeiltere Phishing-Tools zur Massenware werden.

Für 2026 prognostizieren Experten eine weitere Evolution des OAuth-Missbrauchs, wahrscheinlich mit mehr Automatisierung und KI-gestützter Social Engineering. Microsoft wird voraussichtlich in künftigen Entra-ID-Updates strengere Standardbeschränkungen für First-Party-App-Autorisierungen einführen. Bis dahin liegt die Verantwortung bei den Unternehmen: Sie müssen Zero-Trust-Prinzipien rigoros durchsetzen und selbst authentifizierte Sitzungen und vertrauenswürdige Apps einer kontinuierlichen Validierung unterziehen.

PS: Aktuelle Kampagnen nutzen automatisierte Toolkits wie „SquarePhish2“ und zielen gezielt auf Azure‑Konten – reagieren Sie jetzt. Der Gratis‑Guide erklärt konkrete Gegenmaßnahmen für Ihr Security‑Team: Monitoring von Azure‑CLI‑Aktivitäten, Conditional‑Access‑Regeln und ein Notfall‑Playbook für kompromittierte Tokens. Senden Sie den Report an Ihr SOC und minimieren Sie sofortige Risiken. Kostenlosen Anti‑Phishing‑Guide anfordern