Hacker missbrauchen Active Directory Federation Services für Phishing über legitime Office.com-Links

Cyberkriminelle nutzen eine neue Methode, um Microsoft-Anmeldedaten zu stehlen: Sie kombinieren legitime Office.com-Links mit Active Directory Federation Services (ADFS), um Nutzer auf manipulierte Phishing-Seiten umzuleiten.

Mit diesem Vorgehen umgehen die Angreifer nicht nur die herkömmliche URL-basierte Sicherheitsüberprüfung, sondern auch den Multi-Faktor-Authentifizierungsprozess. Entscheidend dabei: Die erste Weiterleitung erfolgt über eine vertrauenswürdige Domäne innerhalb der Microsoft-Infrastruktur, was die Attacke besonders schwer erkennbar macht.

Vertrauenswürdige Umleitungen als Sicherheitslücke

Forscher von Push Security haben kürzlich eine solche Kampagne untersucht. Dabei wurden mehrere Kunden ins Visier genommen: Mitarbeiter wurden von einem legitimen Outlook.office.com-Link auf eine gefälschte Phishing-Seite geleitet, die darauf abzielte, ihre Microsoft 365-Zugangsdaten zu stehlen.

Push Security analysiert moderne Phishing-Kits: Wie Angreifer legitime Microsoft-Links missbrauchen

Die IT-Sicherheitsforscher von Push Security betonen: „Alles, was wir tun, ist forschungsorientiert.“ Ihre Erkennungsmechanismen für Phishing-Angriffe basieren auf praktischen Analysen realer Phishing-Kits, mit denen Kunden des Unternehmens angegriffen wurden. So erhalten die Experten kontinuierlich Einblicke in alle Arten moderner Angriffe – vom klassischen Evilginx-Phishing-Kit bis zu professionellen „Crime-as-a-Service“-Infrastrukturen.

Bei ihrer jüngsten Untersuchung stießen sie auf einen scheinbar unscheinbaren Reverse-Proxy-Klon einer Microsoft-Anmeldeseite. Auf den ersten Blick wirkte die Seite unauffällig – doch die Innovation liegt zunehmend nicht auf der Seite selbst, sondern in den Techniken, wie Angreifer Sicherheitsmechanismen umgehen.

Das Ziel der Täter: die Phishing-Seite erfolgreich an Nutzer ausliefern, ohne dass E-Mail-Sicherheitslösungen, Proxy-Scanner, URL-Feeds oder Webanalyse-Tools Alarm schlagen. In diesem Fall gelang es den Angreifern, Nutzer von einem legitimen outlook.office.com-Link auf die gefälschte Website umzuleiten – eine klassische offene Umleitung, deren Wirkung jedoch wie bei bekannten Schwachstellen ist.

Im Zentrum der Analyse stand die Zeitleistenfunktion von Push Security, Teil der neuesten Detection-Tools. Sie erlaubt es, die komplette Kette der Nutzeraktivitäten nachzuvollziehen – von der ursprünglichen Linkquelle über die gesamte Umleitungskette bis hin zu geöffneten und geschlossenen Tabs, Pop-ups, übermittelten Formularen und eingegebenen Passwörtern.

Die Forscher zeigen damit, wie Angreifer zunehmend ausgefeilte Techniken einsetzen, um Phishing-Erkennung zu umgehen. Zunächst wurde die Methode Schritt für Schritt untersucht, bevor die Ergebnisse und ihre Auswirkungen auf Sicherheitsmechanismen analysiert wurden.

Untersuchungsablauf der Forscher

Wie eingangs erwähnt, wies die Phishing-Seite selbst keine Besonderheiten auf – es handelte sich um eine standardmäßige Reverse-Proxy-AitM-Seite, die die Benutzersitzung während der Authentifizierung abfängt und dabei die Multi-Faktor-Authentifizierung umgeht.

Die Attacke war nicht gezielt: Mitarbeiter mehrerer Kunden waren betroffen. Ein Beispiel zeigt, wie ein Nutzer auf die Website gelangte:

Zeitachse ab dem Erkennungsereignis – in diesem Fall war die Steuerung im „Überwachungsmodus“ konfiguriert, sodass sie nicht automatisch blockiert wurde. Grafik Quelle: Push Security

Der Benutzer hatte über die Google-Suche auf den bösartigen Link zugegriffen. Er suchte nach „Office 265“ (vermutlich ein Tippfehler), klickte auf einen Link und wurde auf eine Office-Anmeldeseite weitergeleitet.

Der Outlook-Link enthielt eine Reihe von Google-Ads-Tracking-Parametern, was darauf hindeutet, dass der Nutzer auf eine Anzeige und nicht auf ein organisches Suchergebnis geklickt hatte – es handelte sich also um einen Malvertising-Angriff.

Im URL-Pfad tauchte zudem die Domain bluegraintours[.]com auf, die den Nutzer schließlich auf die Phishing-Seite weiterleitete, die sich als Microsoft ausgab (login-microsoftonline[.]offirmtm[.]com …).

Die Forscher bemerkten: Es war auffällig, dass office.com auf die Phishing-Seite weiterleitete und die Domain bluegraintours im Pfad eines office.com-Links enthalten war. Es gab keine Hinweise darauf, dass eine Phishing-E-Mail geöffnet worden war; alles lief direkt über den legitimen office.com-Link.

Weiterleitung zu einer bösartigen Anmeldeseite über ADFS

„Aus meiner Erinnerung wusste ich, dass der Tenantname in der URL erscheinen kann, wenn Nutzer auf einen bestimmten Microsoft-Tenant ihrer Organisation zugreifen – im Grunde eine domänenspezifische Landing Page“, so Luke Jennings.

Es stellte sich heraus, dass der Angreifer einen benutzerdefinierten Microsoft-Mandanten mit konfigurierten Active Directory Federation Services (ADFS) eingerichtet hatte. ADFS ist eine SSO-Lösung, die häufig verwendet wird, um lokale Active-Directory-Konten mit Clouddiensten wie Microsoft 365 oder Azure Active Directory zu verbinden. In diesem Fall leitete Microsoft die Nutzer zur benutzerdefinierten bösartigen Domain weiter.

Dies erinnert stark an SAMLjacking, eine Technik, über die bereits in früheren Analysen berichtet wurde. Dabei kann die Identität des Identitätsanbieters geändert werden, über den sich Benutzer einer Anwendung authentifizieren. Angreifer modifizieren diesen Link, sodass ihre Phishing-Seite die legitime Website proxyiert und Nutzer über echte Anmeldelinks abfängt – eine Methode, die man als ADFSjacking bezeichnen könnte.

Die Autorisierungsanforderung wird an den ADFS-Server für bluegraintours weitergeleitet. Grafik Quelle: Push Security

Zunächst gingen die Forscher davon aus, dass bluegraintours eine legitime Website war, die kompromittiert und als Weiterleitung genutzt wurde – ein gängiges Vorgehen von Bedrohungsgruppen. Tatsächlich handelte es sich jedoch um eine gefälschte Website, die die Angreifer vermutlich mit Vibe-Coding erstellt hatten.

Screenshot der Website bluegraintours, einschließlich eines gefälschten Blogs mit Einträgen von „John Doe” und „Jane Smith” sowie gefälschten Adressen, die eindeutig darauf hindeuten, dass es sich um eine gefälschte, wahrscheinlich KI-generierte Website handelt. Grafik Quelle: Push Security

Besonders auffällig: Das Phishing-Opfer würde dies nicht bemerken. Die Domain fungiert lediglich als unsichtbare Weiterleitung. Vermutlich dient dies dazu, die Art der Domain für Kategorisierungszwecke zu verschleiern – eine typische Methode proxybasierter Lösungen, um zu verhindern, dass Nutzer auf nicht genehmigte Inhalte zugreifen. So wird die Domain beispielsweise von automatisierten Scannern als Reiseblog klassifiziert.

Bedingtes Laden unterbrach die Seitenanalyse

Während der Benutzer am Ende der Kette auf die Phishing-Seite weitergeleitet wurde, konnten die Forscher aufgrund von Einschränkungen beim bedingten Laden den vollständigen Angriffsablauf beim Laden des ursprünglich vom Benutzer angeklickten Links nicht nachstellen. Dies geschieht, wenn bestimmte Bedingungen für das Laden der Seite nicht erfüllt sind. Da das Kit sie als ungültiges Ziel identifiziert, wurden sie zurück zu office.com weitergeleitet. Sie konnten jedoch diesen Schritt überspringen und das bedingte Laden umgehen, um direkt auf den Phishing-Server zuzugreifen.

Die sehr normal aussehende bösartige Microsoft-Anmeldeseite. Grafik Quelle: Push Security

Wichtigste Erkenntnisse

Obwohl es sich hierbei nicht um eine Schwachstelle im eigentlichen Sinne handelt, ist die Möglichkeit für Angreifer, ihren eigenen Microsoft ADFS-Server zum Hosten ihrer Phishing-Seite hinzuzufügen und Microsoft dazu zu veranlassen, darauf umzuleiten, eine besorgniserregende Entwicklung, die die URL-basierte Erkennung noch schwieriger machen wird, als sie ohnehin schon ist. Das Hosten von Phishing-Links auf vertrauenswürdigen Websites von Drittanbietern ist eine äußerst effektive Methode, um URL-basierte Erkennung zu umgehen und mehrere Verschleierungsstufen in der Phishing-Kette zu implementieren, die automatisierte Analyse-Tools außer Kraft setzen können.

Dies entspricht im Grunde genommen einer offenen Umleitungsschwachstelle bei Outlook.com, was in den Augen der meisten Sicherheitsexperten ein großes Problem darstellen würde. In der Praxis ist es für durchschnittliche Angreifer etwas schwieriger, dies auszunutzen, aber jeder, der bereit ist, einen Microsoft-Mandanten anzulegen und ADFS einzurichten, könnte eine ähnliche Phishing-Infrastruktur aufbauen – wofür lediglich eine Kreditkartenprüfung erforderlich ist.

Ein weiterer bemerkenswerter Bestandteil dieses Angriffs ist die Verwendung von Malvertising als Kanal für die Auslieferung der Köder. Diesen Trend haben sie kürzlich bei Scattered Spider durch die Verwendung von Onfido-basierten Malvertising-Ködern beobachtet. Malvertising ist eine hervorragende Möglichkeit für Angreifer, Phishing-Kontrollen auf E-Mail-Ebene (wo die meisten Kontrollen stattfinden) zu umgehen und, wie in diesem Fall, ein äußerst überzeugendes und schwer zu erkennendes Phishing-Szenario zu erstellen.

Auch interessant für Sie

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky