When checking the URL isn’t enough: a Device Code Phishing attack via a Microsoft website
Angreifer nutzen eine neue Phishing-Methode namens "Device Code Phishing", bei der Opfer ihre Zugangsdaten direkt auf einer legitimen Microsoft-Website eingeben. Diese Attacke missbraucht den OAuth 2.0 Device Authorization Grant, der für Geräte ohne Tastatur oder Browser gedacht ist. Nutzer werden aufgefordert, einen Einmalcode auf einer vertrauenswürdigen Microsoft-Seite einzugeben, wodurch die Angreifer Zugriff auf ihre Konten erhalten. Um sich zu schützen, sollten Nutzer stets wachsam sein und die Authentifizierungsanfragen genau prüfen, auch wenn die URL legitim erscheint.
Angreifer nutzen eine neue Phishing-Methode namens "Device Code Phishing", die den OAuth 2.0 Device Authorization Grant missbraucht. Opfer werden dazu verleitet, einen Einmalcode auf einer legitimen Microsoft-Website einzugeben. Dies gewährt den Angreifern Zugriff auf die Konten der Opfer, selbst wenn die URL vertrauenswürdig erscheint.
Organisationen, die Microsoft-Dienste nutzen, insbesondere solche, die Active Directory und OAuth 2.0 Device Authorization Grant verwenden. Behörden werden im Artikel erwähnt.
Diese Methode umgeht traditionelle URL-Überprüfungen, da die Authentifizierung auf einer legitimen Microsoft-Domain stattfindet. Dies erhöht die Erfolgsquote von Phishing-Angriffen erheblich und erschwert die Erkennung für Endbenutzer.
Unerlaubter Zugriff auf Benutzerkonten, was zu Datenkompromittierung, unbefugten Aktionen im Namen des Benutzers und potenziell weiteren lateralen Bewegungen innerhalb der Organisation führen kann.
Schulung der Benutzer zur Überprüfung der Legitimität von Authentifizierungsanfragen, auch wenn die URL legitim erscheint. Implementierung von Multi-Faktor-Authentifizierung (MFA) und Überwachung von Anmeldeereignissen, insbesondere von Geräten, die den Device Code Flow verwenden.
- ▸Überprüfen Sie die Konfiguration Ihrer OAuth 2.0 Device Authorization Grant-Implementierungen und stellen Sie sicher, dass diese nur für tatsächlich benötigte Geräte und Szenarien aktiviert sind.
- ▸Führen Sie Awareness-Schulungen für Endbenutzer durch, die spezifisch auf Device Code Phishing eingehen und die Notwendigkeit betonen, Authentifizierungsanfragen kritisch zu hinterfragen, auch bei legitimen URLs.
- ▸Überwachen Sie Anmeldeereignisse und Token-Ausstellungen, die über den Device Code Flow erfolgen, auf ungewöhnliche Muster oder Anfragen von unbekannten Geräten oder Standorten.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Angreifer nutzen eine neue Phishing-Methode namens "Device Code Phishing" |
| Initial Access | T1566.002 Phishing: Spearphishing Link | Medium | Opfer werden dazu verleitet, einen Einmalcode auf einer legitimen Microsoft-Website einzugeben |
| Defense Evasion | T1078 Valid Accounts | Low | Angreifer erhalten Zugriff auf ihre Konten |
- Es wird nicht spezifiziert, welche spezifischen Microsoft-Dienste oder -Anwendungen am anfälligsten für diese Art von Angriff sind.
- Es werden keine spezifischen IOCs (Indicators of Compromise) oder Tools genannt, die von den Angreifern verwendet werden.
- Der Artikel gibt keine Informationen über die geografische Reichweite oder die spezifischen Angreifergruppen, die diese Methode einsetzen.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Möglich
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Möglich
Kundenfragen
- Haben wir Active Directory / Entra extern erreichbar?
- Können wir Reconnaissance detektieren?
- Können wir Resource Development detektieren?