SecBoard
Zurück zur Übersicht

Hackers Use Fake Microsoft Entra Passkey Enrollment to Gain Microsoft 365 Access

The Hacker News·
Originalartikel lesen bei The Hacker News

Cyberkriminelle nutzen gefälschte Microsoft Entra Passkey-Registrierungen, um Zugriff auf Microsoft 365-Konten zu erlangen. Sie verwenden sprachbasierte Phishing-Angriffe, um Benutzer zur Registrierung eines neuen Passkeys zu verleiten. Ziel ist die Erpressung von Daten, wovon Organisationen verschiedener Sektoren betroffen sind. Benutzer sollten bei Aufforderungen zur Passkey-Registrierung äußerste Vorsicht walten lassen.

Kurzfassung

Cyberkriminelle nutzen gefälschte Microsoft Entra Passkey-Registrierungen, um über sprachbasierte Phishing-Angriffe Zugriff auf Microsoft 365-Konten zu erlangen. Das Ziel ist die Erpressung von Daten. Organisationen verschiedener Sektoren sind von dieser Bedrohung betroffen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Organisationen verschiedener Sektoren, die Microsoft 365 nutzen.

Warum relevant

Diese Angriffsmethode umgeht traditionelle Multi-Faktor-Authentifizierung (MFA) durch die Registrierung eines Angreifer-kontrollierten Passkeys, was direkten Zugriff auf sensible Unternehmensdaten ermöglicht.

Realistisches Worst Case

Erfolgreiche Datenexfiltration und anschließende Erpressung, was zu erheblichen finanziellen Verlusten und Reputationsschäden führen kann.

Handlungsempfehlung

Benutzer über die Risiken von Phishing-Angriffen, insbesondere sprachbasierten, aufklären und klare Richtlinien für die Passkey-Registrierung etablieren.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Protokolle für Microsoft Entra ID auf ungewöhnliche oder nicht autorisierte Passkey-Registrierungen.
  • Führen Sie simulierte Phishing-Angriffe (einschließlich Vishing) durch, um die Sensibilisierung der Benutzer zu testen und zu verbessern.
  • Stellen Sie sicher, dass Richtlinien für die Passkey-Registrierung vorhanden sind, die eine zusätzliche Verifizierung erfordern, bevor neue Passkeys hinzugefügt werden können.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighSie verwenden sprachbasierte Phishing-Angriffe, um Benutzer zur Registrierung eines neuen Passkeys zu verleiten.
PersistenceT1136 Create AccountMediumSie tricksen Microsoft 365-Benutzer dazu aus, einen gefälschten Entra-Passkey zu registrieren.
ImpactT1486 Data Encrypted for ImpactLowZiel ist die Erpressung von Daten
Offene Punkte
  • Spezifische Branchen, die betroffen sind, werden nicht genannt.
  • Details zu den verwendeten Tools oder Exploits werden nicht genannt.
  • Die genaue Methode der Datenexfiltration wird nicht beschrieben.
  • Die Identität des Bedrohungsakteurs O-UNC-066 wird nicht näher erläutert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir Active Directory / Entra extern erreichbar?
  • Können wir Initial Access detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Initial Access