Neue Phishing-Technik missbraucht Microsoft ADFS und legitime office.com-Links

Table of Contents

Forscher von Push haben eine neuartige Phishing-Methode entdeckt, bei der Angreifer Active Directory Federation Services (ADFS) einsetzen, um Opfer über legitime office.com-Links auf gefälschte Microsoft-Anmeldeseiten umzuleiten.

Die Kampagne kombiniert mehrere aktuelle Detection-Evasion-Techniken:

  • Malvertising: Opfer gelangten über Google Ads mit Tippfehler-Suchanfragen wie „Office 265“ auf die Phishing-Seite.
  • ADFS-Umleitungen: Durch das Einrichten eigener Microsoft-Tenants mit ADFS-Integration können Angreifer Microsoft selbst dazu bringen, Nutzer an bösartige Login-Seiten weiterzuleiten.
  • Täuschungsdomänen: Fake-Seiten wie bluegraintours[.]com dienen als unauffällige Zwischenstationen, um Sicherheitsfilter zu umgehen.

Die Phishing-Seiten selbst erscheinen als klassische Reverse-Proxy-Klone von Microsoft-Loginseiten, die auch Multi-Faktor-Authentifizierung umgehen können.

Risiken und Takeaways

  • Der Angriff gleicht einer Open-Redirect-Schwachstelle auf Outlook.com und erschwert URL-basierte Erkennung erheblich.
  • Jeder mit einem Microsoft-Tenant und ADFS-Einrichtung könnte ähnliche Angriffe durchführen.
  • Malvertising wird zunehmend genutzt, um E-Mail-Schutzmechanismen zu umgehen.

Empfehlungen

  • Proxy-Logs auf verdächtige ADFS-Redirects überwachen.
  • Google Ads-Parameter in Kombination mit office.com-Weiterleitungen genauer prüfen.
  • Ad-Blocker unternehmensweit einsetzen, um Malvertising als Angriffsvektor zu reduzieren.

Related Posts

Gefährliche Path-Traversal-Lücke in WinRAR geschlossen

In WinRAR-Versionen bis einschließlich 7.12 für Windows wurde eine kritische Path-Traversal-Sicherheitslücke (CVE-2025-8088, CVSS 8.4) entdeckt, die Angreifern das Ausführen beliebigen Codes über manipulierte Archivdateien ermöglicht. Die Schwachstelle wurde bereits aktiv ausgenutzt und von ESET-Forschern aufgedeckt. Betroffen sind auch die Windows-Versionen von RAR, UnRAR sowie die portable UnRAR-Quelle und UnRAR.dll. Nutzer sollten umgehend auf WinRAR 7.13 oder neuer aktualisieren. Linux-, macOS- und Android-Versionen sind nicht betroffen.

Read More

Forscher kapern Google Gemini über simplen Kalender-Eintrag

Sicherheitsforscher von SafeBreach Labs haben eine neue Angriffsmethode namens Targeted Promptware vorgestellt, die es erlaubt, Googles KI-Assistent Gemini in Workspace-Umgebungen allein durch das Versenden einer manipulierten Google-Kalendereinladung zu kompromittieren. Über diesen Ansatz konnten Angreifer unter anderem Standorte ermitteln, Opfer per Zoom filmen, E-Mails exfiltrieren oder sogar smarte Haushaltsgeräte steuern. Die Technik nutzt sogenannte indirekte Prompt-Injections, die beim Abrufen von Kalender- oder E-Mail-Inhalten durch Gemini unbemerkt ausgeführt werden. Laut Analyse bergen 73 % der getesteten Angriffe ein hochkritisches Risiko. Google hat nach der Meldung im Februar 2025 mehrschichtige Schutzmaßnahmen implementiert, darunter verbesserte Bestätigungen für sensible Aktionen, strikteres URL-Handling und erweiterte Erkennung von Prompt-Injections.

Read More

CVE-2025-52970: Kritische Auth-Bypass-Schwachstelle in FortiWeb entdeckt

Ein Sicherheitsforscher hat eine schwerwiegende Schwachstelle in Fortinets Web Application Firewall FortiWeb offengelegt. Der Exploit, genannt Fort-Majeure, nutzt einen Fehler in der Cookie-Verarbeitung aus und ermöglicht eine vollständige Umgehung der Authentifizierung.

Read More