Sicherheitsforscher warnen vor einer Reihe hochentwickelter Angriffsmethoden – von getarnten Schadprogrammen bis zu gezielten Social-Engineering-Kampagnen. Die Angreifer nutzen dabei die Vertrauenswürdigkeit der beliebten Kommunikationsplattform aus, um herkömmliche Sicherheitsvorkehrungen zu umgehen.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Hintertür durch Microsofts eigene Infrastruktur
Besonders brisant: Eine neu entdeckte Schadsoftware namens Backdoor.Turn nutzt erstmals Microsofts TURN-Relay-Server, um bösartigen Datenverkehr zu verstecken. Die von Symantec und Carbon Black analysierte Malware tarnt ihre Kommunikation als legitimen Netzwerkverkehr – und das direkt über Microsofts eigene Infrastruktur.
Die Go-basierte Schadsoftware wird Analysten zufolge der DragonForce-Ransomware-Gruppe zugeschrieben. Sie schleust sich in den Prozess DbgView64.exe ein, holt sich einen anonymen Teams-Gast-Token und baut über QUIC-Sitzungen per UDP eine Verbindung auf. Das erlaubt den Angreifern alles: von der Fernsteuerung des Systems über den Diebstahl von Zugangsdaten bis zur Ausbreitung im gesamten Netzwerk.
Die Gruppe war allein im ersten Quartal 2026 für 101 dokumentierte Opfer verantwortlich. In einem konkreten Fall griffen die Täter zunächst einen SQL-Server eines US-Dienstleistungsunternehmens an, um dann durch Sideloading und gestohlene Anmeldedaten die Erpressungssoftware auszurollen.
Vishing: Der Anruf von der „IT-Abteilung“
Parallel dazu verzeichnen Sicherheitsexperten einen deutlichen Anstieg von Voice-Phishing-Angriffen – sogenanntem Vishing – über Microsoft Teams. Die Firma CyberProof dokumentierte mehrere solcher Fälle in der ersten Jahreshälfte 2026.
Die Masche ist perfide: Angreifer geben sich als Mitarbeiter der IT-Abteilung aus, gewinnen das Vertrauen ihrer Opfer und verschaffen sich so Zugang zu deren Arbeitsrechnern. In einem Fall reichte ein 23-minütiges Gespräch, um ein Opfer zur Installation von TeamViewer zu bewegen. In einem anderen Fall, bei dem eine Gesundheitsorganisation betroffen war, nutzten die Angreifer das Tool Quick Assist, um PowerShell-Skripte für Kerberoasting-Angriffe auszuführen. Die gestohlenen Daten wurden anschließend über externe Filesharing-Dienste abtransportiert.
Die Angreifer setzen gezielt auf die vermeintliche Sicherheit interner Kommunikationsplattformen – ein Vertrauensvorschuss, den klassische E-Mail-Sicherheitsgateways nicht bieten können.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Gratis-E-Book: Cyber-Security-Trends entdecken
Schwachstellen im Microsoft-365-Universum
Doch nicht nur Teams selbst ist verwundbar. Am 22. Juni 2026 deckte NetSPI eine Sicherheitslücke in Microsoft Entra (ehemals Azure AD) auf. Der Fehler mittleren Schweregrads betraf die sogenannte Nested App Authentication (NAA). Angreifer konnten gestohlene Azure-Portal-Refresh-Tokens missbrauchen, um Microsoft-Graph-Tokens zu erhalten – und damit die üblichen Sicherheitsprüfungen der Conditional-Access-Richtlinien umgehen. Microsoft hat den Fehler inzwischen behoben.
Ebenfalls im Juni 2026 wurde die Sicherheitslücke SearchLeak in Microsoft 365 Copilot for Enterprise bekannt. Die als CVE-2026-42824 gelistete Schwachstelle ermöglichte den Abfluss sensibler Daten – darunter Multi-Faktor-Authentifizierungscodes und SharePoint-Dateien. Der Angriff nutzte eine Parameter-to-Prompt-Injection und eine Race-Condition in der HTML-Darstellung aus. Ein Klick auf einen präparierten Link genügte.
Neue Phishing-Kits und parallele Angreifer
Die Bedrohungslage wird zusätzlich durch neue Phishing-Kits wie CodeStorm verschärft. Diese täuschen Voicemail-Benachrichtigungen vor und setzen auf „Conversation Stuffing“, um Sicherheitsfilter zu umgehen. Im Hintergrund führt das Kit einen Echtzeit-Abgleich der eingegebenen Zugangsdaten durch – und umgeht so verschiedene MFA-Verfahren wie Push-Benachrichtigungen, SMS oder Sprachanrufe.
Wie komplex die Lage ist, zeigt eine Untersuchung des Microsoft Detection and Response Teams (DART). Die Forscher entdeckten zwei voneinander unabhängige Angreifer – darunter die Gruppe Storm-2603 – die gleichzeitig im selben Netzwerk operierten. Beide waren über ungepatchte lokale SharePoint-Server eingedrungen. Die überlappenden Aktivitäten machten die Erkennung für Sicherheitsteams erheblich schwieriger.
