Neue Phishing-Technik missbraucht Microsoft ADFS und legitime office.com-Links
Table of Contents
Forscher von Push haben eine neuartige Phishing-Methode entdeckt, bei der Angreifer Active Directory Federation Services (ADFS) einsetzen, um Opfer über legitime office.com-Links auf gefälschte Microsoft-Anmeldeseiten umzuleiten.
Die Kampagne kombiniert mehrere aktuelle Detection-Evasion-Techniken:
- Malvertising: Opfer gelangten über Google Ads mit Tippfehler-Suchanfragen wie „Office 265“ auf die Phishing-Seite.
- ADFS-Umleitungen: Durch das Einrichten eigener Microsoft-Tenants mit ADFS-Integration können Angreifer Microsoft selbst dazu bringen, Nutzer an bösartige Login-Seiten weiterzuleiten.
- Täuschungsdomänen: Fake-Seiten wie bluegraintours[.]com dienen als unauffällige Zwischenstationen, um Sicherheitsfilter zu umgehen.
Die Phishing-Seiten selbst erscheinen als klassische Reverse-Proxy-Klone von Microsoft-Loginseiten, die auch Multi-Faktor-Authentifizierung umgehen können.
Risiken und Takeaways
- Der Angriff gleicht einer Open-Redirect-Schwachstelle auf Outlook.com und erschwert URL-basierte Erkennung erheblich.
- Jeder mit einem Microsoft-Tenant und ADFS-Einrichtung könnte ähnliche Angriffe durchführen.
- Malvertising wird zunehmend genutzt, um E-Mail-Schutzmechanismen zu umgehen.
Empfehlungen
- Proxy-Logs auf verdächtige ADFS-Redirects überwachen.
- Google Ads-Parameter in Kombination mit office.com-Weiterleitungen genauer prüfen.
- Ad-Blocker unternehmensweit einsetzen, um Malvertising als Angriffsvektor zu reduzieren.