Entra passkey enrollment vishing targets Microsoft 365 users
Ein Bedrohungsakteur zielt auf Microsoft 365-Nutzer in verschiedenen Sektoren ab. Mittels Vishing werden sie aufgefordert, einen neuen Entra-Passkey zu registrieren. Betroffene Organisationen sollten ihre Mitarbeiter sensibilisieren und auf verdächtige Anfragen hinweisen.
Eine Vishing-Kampagne zielt auf Microsoft 365-Nutzer in verschiedenen Sektoren ab. Bedrohungsakteure nutzen gefälschte Sicherheitsanfragen über Sprachanrufe, um Nutzer zur Registrierung eines neuen Entra-Passkeys zu verleiten. Organisationen sollten ihre Mitarbeiter sensibilisieren und auf verdächtige Anfragen hinweisen.
Microsoft 365-Nutzer in verschiedenen Sektoren.
Diese Kampagne versucht, die Authentifizierungskontrollen von Microsoft 365 zu umgehen, indem sie Nutzer dazu bringt, einen Angreifer-kontrollierten Passkey zu registrieren. Dies könnte zu unbefugtem Zugriff auf Konten führen.
Unbefugter Zugriff auf Microsoft 365-Konten, was zu Datenkompromittierung, E-Mail-Spoofing oder weiteren lateralen Bewegungen innerhalb der Organisation führen kann.
Mitarbeiter über die Risiken von Vishing und die korrekte Handhabung von Passkey-Registrierungsanfragen aufklären. Richtlinien für die Überprüfung von Authentifizierungsanfragen über offizielle Kanäle etablieren.
- ▸Überprüfen Sie die Protokolle auf ungewöhnliche oder unerwartete Passkey-Registrierungen in Entra ID.
- ▸Führen Sie Phishing- und Vishing-Simulationen durch, um die Widerstandsfähigkeit der Mitarbeiter zu testen.
- ▸Stellen Sie sicher, dass die Richtlinien für die Multi-Faktor-Authentifizierung (MFA) und Passkey-Registrierung klar kommuniziert und durchgesetzt werden.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Mittels Vishing werden sie aufgefordert, einen neuen Entra-Passkey zu registrieren. |
| Defense Evasion | T1556 Modify Authentication Process | Medium | trick users into enrolling a new Entra passkey |
- Spezifische betroffene Sektoren sind nicht im Artikel genannt.
- Die genaue Methode, wie die Vishing-Anrufe durchgeführt werden (z.B. Spoofing-Nummern), ist nicht spezifiziert.
- Es werden keine spezifischen Tools oder Exploits genannt, die von den Bedrohungsakteuren verwendet werden.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Unklar
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Haben wir Active Directory / Entra extern erreichbar?