Hackers Use Fake Microsoft Entra Passkey Enrollment to Gain Microsoft 365 Access
Cyberkriminelle nutzen gefälschte Microsoft Entra Passkey-Registrierungen, um Zugriff auf Microsoft 365-Konten zu erlangen. Sie verwenden sprachbasierte Phishing-Angriffe, um Benutzer zur Registrierung eines neuen Passkeys zu verleiten. Ziel ist die Erpressung von Daten, wovon Organisationen verschiedener Sektoren betroffen sind. Benutzer sollten bei Aufforderungen zur Passkey-Registrierung äußerste Vorsicht walten lassen.
Cyberkriminelle nutzen gefälschte Microsoft Entra Passkey-Registrierungen, um über sprachbasierte Phishing-Angriffe Zugriff auf Microsoft 365-Konten zu erlangen. Das Ziel ist die Erpressung von Daten. Organisationen verschiedener Sektoren sind von dieser Bedrohung betroffen.
Organisationen verschiedener Sektoren, die Microsoft 365 nutzen.
Diese Angriffsmethode umgeht traditionelle Multi-Faktor-Authentifizierung (MFA) durch die Registrierung eines Angreifer-kontrollierten Passkeys, was direkten Zugriff auf sensible Unternehmensdaten ermöglicht.
Erfolgreiche Datenexfiltration und anschließende Erpressung, was zu erheblichen finanziellen Verlusten und Reputationsschäden führen kann.
Benutzer über die Risiken von Phishing-Angriffen, insbesondere sprachbasierten, aufklären und klare Richtlinien für die Passkey-Registrierung etablieren.
- ▸Überprüfen Sie die Protokolle für Microsoft Entra ID auf ungewöhnliche oder nicht autorisierte Passkey-Registrierungen.
- ▸Führen Sie simulierte Phishing-Angriffe (einschließlich Vishing) durch, um die Sensibilisierung der Benutzer zu testen und zu verbessern.
- ▸Stellen Sie sicher, dass Richtlinien für die Passkey-Registrierung vorhanden sind, die eine zusätzliche Verifizierung erfordern, bevor neue Passkeys hinzugefügt werden können.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Sie verwenden sprachbasierte Phishing-Angriffe, um Benutzer zur Registrierung eines neuen Passkeys zu verleiten. |
| Persistence | T1136 Create Account | Medium | Sie tricksen Microsoft 365-Benutzer dazu aus, einen gefälschten Entra-Passkey zu registrieren. |
| Impact | T1486 Data Encrypted for Impact | Low | Ziel ist die Erpressung von Daten |
- Spezifische Branchen, die betroffen sind, werden nicht genannt.
- Details zu den verwendeten Tools oder Exploits werden nicht genannt.
- Die genaue Methode der Datenexfiltration wird nicht beschrieben.
- Die Identität des Bedrohungsakteurs O-UNC-066 wird nicht näher erläutert.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Haben wir Active Directory / Entra extern erreichbar?
- Können wir Initial Access detektieren?