Phishing-Dienst und Copilot-Schwachstelle setzen Unternehmen unter Druck. Die Angriffe umgehen selbst mehrstufige Authentifizierung.
Die Sicherheitslage für Microsoft-365-Nutzer hat sich dramatisch zugespitzt. Gleich zwei Vorfälle sorgen für Alarmstimmung: Das FBI warnt vor einem professionellen Phishing-Dienst, während Sicherheitsforscher eine kritische Lücke im KI-Assistenten Copilot aufdeckten. Beide Angriffe zielen auf das ab, was Experten als „passwortlose“ Bedrohung bezeichnen – sie umgehen die klassische Zwei-Faktor-Authentifizierung (MFA).
FBI schlägt Alarm: Kali365 im Visier der Ermittler
Anzeige: Wer die MFA-Umgehung durch Kali365 und die SearchLeak-Lücke in Copilot für sein Unternehmen bewerten will, findet im Report die wichtigsten Schutzmaßnahmen – von Device-Code-Flow-Blockade bis zu Conditional-Access-Richtlinien. Jetzt kostenlosen Sicherheits-Report anfordern
Am gestrigen Dienstag veröffentlichte das FBI eine öffentliche Warnung zu „Kali365″, einer Phishing-as-a-Service-Plattform (PhaaS), die speziell auf Microsoft-365-Konten abzielt. Der Dienst wurde im Frühjahr 2026 entdeckt und wird über Telegram vertrieben – zum Preis von umgerechnet rund 230 Euro pro Monat.
Die Methode ist raffiniert: Kali365 nutzt den sogenannten Device-Code-Flow, ein legitimes Microsoft-Authentifizierungsverfahren, das eigentlich für Geräte mit eingeschränkter Eingabe (etwa Smart-TVs) gedacht ist. Der Angreifer verschickt eine Phishing-Mail mit einem Gerätecode. Gibt das Opfer diesen Code auf einer echten Microsoft-Seite ein, erhält der Angreifer Zugriff auf das Konto – ohne jemals das Passwort zu kennen.
Besonders perfide: Die Attacke umgeht MFA, indem sie OAuth-Sitzungstoken stiehlt. Vom Code-Eingang bis zum Token-Diebstahl vergehen laut Sicherheitsforschern von Huntress mitunter nur 42 Sekunden. Die gestohlenen Token gewähren dauerhaften Zugriff auf Outlook, Teams, OneDrive und SharePoint – selbst ein Zurücksetzen des Passworts hilft oft nicht mehr.
Das FBI empfiehlt Unternehmen, Conditional-Access-Richtlinien zu implementieren, die den Device-Code-Flow blockieren, sofern er nicht zwingend erforderlich ist.
„SearchLeak“: Kritische Lücke in Microsoft Copilot
Parallel dazu wurde am Dienstag eine schwerwiegende Sicherheitslücke in Microsoft 365 Copilot Enterprise bekannt. Die von Varonis-Forschern entdeckte Schwachstelle mit der Kennung CVE-2026-42824 trägt den Namen „SearchLeak“ und ermöglicht den Abfluss sensibler Daten durch eine mehrstufige Injektionsattacke.
Der Angriff nutzt eine Parameter-to-Prompt-Injection über eine manipulierte URL. Sobald ein Nutzer mit Copilot interagiert, während ein vom Angreifer kontrolliertes Dokument oder eine E-Mail verarbeitet wird, kann die KI getäuscht werden, versteckte Suchbefehle auszuführen. Die Sicherheitslücke nutzt Timing-Fehler bei der Darstellung von Antworten aus und umgeht Content-Security-Policy-Schutzmechanismen, indem sie Bings Bildersuche zum Datenabfluss nutzt.
Betroffen waren unter anderem MFA-Codes, E-Mail-Betreffzeilen und vertrauliche Dateien aus SharePoint und OneDrive. Microsoft hat zwar einen Patch bereitgestellt, doch Sicherheitsanalysten betonen: Das Grundproblem bleibt bestehen. Große Sprachmodelle (LLMs) haben weiterhin Schwierigkeiten, zwischen legitimen Nutzeranweisungen und nicht vertrauenswürdigen Inhalten Dritter zu unterscheiden. Die Lücke ähnelt der im Mai 2026 geschlossenen Schwachstelle „EchoLeak“ (CVE-2025-32711).
Sicherheitsbranche rüstet um
Anzeige: 60 Prozent der M365-Mandanten weisen kritische Fehlkonfigurationen auf – ein Einfallstor für Angreifer, die OAuth-Token stehlen. Der Report zeigt, wie Sie Ihre Identity-Security-Posture in 3 Schritten auf Vordermann bringen. Identity-Security-Checkliste jetzt sichern
Die Angriffe auf Cloud-Identitäten werden immer ausgefeilter – und die Abwehr hinkt hinterher. Eine aktuelle Studie von Huntress zur Identity Security Posture Management (ISPM) zeigt: Bei über 60 Prozent der Microsoft-365-Mandanten fehlt mehr als die Hälfte der empfohlenen Sicherheitskontrollen. Rund 45 Prozent der befragten Organisationen meldeten Sicherheitsvorfälle aufgrund von Fehlkonfigurationen.
Die Industrie reagiert: Barracuda launchte heute einen neuen KI-integrierten E-Mail-Schutzdienst. Die Plattform erkennt und bekämpft Bedrohungen, nachdem sie bereits im Posteingang gelandet sind. Eine Notwendigkeit, wie Simulationen zeigen: Identitätsdiebstahl und MFA-Umgehung können innerhalb von fünf Minuten nach einem erfolgreichen Phishing-Angriff erfolgen.
Als weiteren Schutz empfehlen Experten die schrittweise Einführung von FIDO2-Passkeys. Diese phishing-resistenten Anmeldeinformationen nutzen asymmetrische Kryptografie und reduzieren das Risiko von Kontodiebstählen erheblich. Sie machen die Branche unabhängig von den Sitzungstoken, die Dienste wie Kali365 gezielt angreifen. Empfohlen wird der Einsatz zunächst für Hochrisiko-Rollen wie IT-Administratoren und Führungskräfte.
