SecBoard
Zurück zur Übersicht

Entra passkey enrollment vishing targets Microsoft 365 users

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Ein zielt auf Microsoft 365-Nutzer in verschiedenen Sektoren ab. Mittels Vishing werden sie aufgefordert, einen neuen Entra-Passkey zu registrieren. Betroffene Organisationen sollten ihre Mitarbeiter sensibilisieren und auf verdächtige Anfragen hinweisen.

Kurzfassung

Eine Vishing-Kampagne zielt auf Microsoft 365-Nutzer in verschiedenen Sektoren ab. Bedrohungsakteure nutzen gefälschte Sicherheitsanfragen über Sprachanrufe, um Nutzer zur Registrierung eines neuen Entra-Passkeys zu verleiten. Organisationen sollten ihre Mitarbeiter sensibilisieren und auf verdächtige Anfragen hinweisen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Microsoft 365-Nutzer in verschiedenen Sektoren.

Warum relevant

Diese Kampagne versucht, die Authentifizierungskontrollen von Microsoft 365 zu umgehen, indem sie Nutzer dazu bringt, einen Angreifer-kontrollierten Passkey zu registrieren. Dies könnte zu unbefugtem Zugriff auf Konten führen.

Realistisches Worst Case

Unbefugter Zugriff auf Microsoft 365-Konten, was zu Datenkompromittierung, E-Mail-Spoofing oder weiteren lateralen Bewegungen innerhalb der Organisation führen kann.

Handlungsempfehlung

Mitarbeiter über die Risiken von Vishing und die korrekte Handhabung von Passkey-Registrierungsanfragen aufklären. Richtlinien für die Überprüfung von Authentifizierungsanfragen über offizielle Kanäle etablieren.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Protokolle auf ungewöhnliche oder unerwartete Passkey-Registrierungen in Entra ID.
  • Führen Sie Phishing- und Vishing-Simulationen durch, um die Widerstandsfähigkeit der Mitarbeiter zu testen.
  • Stellen Sie sicher, dass die Richtlinien für die Multi-Faktor-Authentifizierung (MFA) und Passkey-Registrierung klar kommuniziert und durchgesetzt werden.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighMittels Vishing werden sie aufgefordert, einen neuen Entra-Passkey zu registrieren.
Defense EvasionT1556 Modify Authentication ProcessMediumtrick users into enrolling a new Entra passkey
Offene Punkte
  • Spezifische betroffene Sektoren sind nicht im Artikel genannt.
  • Die genaue Methode, wie die Vishing-Anrufe durchgeführt werden (z.B. Spoofing-Nummern), ist nicht spezifiziert.
  • Es werden keine spezifischen Tools oder Exploits genannt, die von den Bedrohungsakteuren verwendet werden.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Unklar
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir Active Directory / Entra extern erreichbar?
Themen
Security