Microsoft meldet eine Zunahme gezielter Angriffe auf Azure-Umgebungen und Microsoft-365-Konten – und setzt nun auf künstliche Intelligenz, um die Angreifer auszubremsen.
Phishing-Kit Kali365: Wenn der Angreifer das MFA umgeht
Das FBI warnt vor einer neuen Gefahr: Seit April 2026 ist ein Phishing-as-a-Service-Kit namens Kali365 im Umlauf. Verteilt wird es vor allem über Telegram. Die Masche ist perfide: Opfer erhalten eine E-Mail, die sie zur Eingabe eines Gerätecodes auf einer legitimen Microsoft-Autorisierungsseite auffordert. Sobald das geschieht, wird das Gerät des Angreifers autorisiert – und dieser erhält Zugriff auf Outlook, Teams und OneDrive, ohne dass ein Passwort oder eine weitere MFA-Abfrage nötig wäre.
Angreifer nutzen immer raffiniertere Methoden wie das Kali365-Kit, um herkömmliche Passwörter und sogar die Multifaktor-Authentifizierung zu umgehen. Wie Sie sich mit der neuen Passkey-Technologie effektiv schützen und Hackerangriffe ins Leere laufen lassen, erfahren Sie in diesem kostenlosen Ratgeber. Sicherheits-Report: Passkeys bei Microsoft und Co. einrichten
Parallel dazu beobachtet Microsoft Threat Intelligence die Gruppe Storm-2949. Diese Akteure haben sich auf die Kompromittierung von Azure-Umgebungen spezialisiert. Ihr Werkzeug: Social Engineering über Self-Service-Passwortzurücksetzungen und sogenanntes MFA-Fatigue – das gezielte Überfluten von Nutzern mit MFA-Anfragen, bis diese aus Ermüdung zustimmen.
Die Angreifer nutzen dann die Azure-Rollenverwaltung (RBAC), um ihre Rechte auszuweiten. In beobachteten Fällen extrahierten sie innerhalb von nur vier Minuten Dutzende Geheimnisse aus Azure Key Vaults – darunter Datenbank-Zugangsdaten und Identitätsinformationen. Die Daten werden anschließend über SAS-Tokens und eigene Skripte abgezogen.
BitLocker-Lücke und Defender-Schwachstellen: Zwei kritische Sicherheitslücken
Die Dringlichkeit der Lage unterstreichen zwei aktuell ausgenutzte Schwachstellen in Microsofts eigenen Sicherheitsprodukten. Die US-Behörde CISA hat am 20. Mai 2026 zwei Defender-Lücken in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen:
- CVE-2026-41091: Eine lokale Rechteausweitung (CVSS 7.8)
- CVE-2026-45498: Eine Denial-of-Service-Schwachstelle (CVSS 7.5)
Bundesbehörden müssen die Updates bis zum 3. Juni 2026 installiert haben.
Hinzu kommt eine Zero-Day-Lücke in BitLocker, die als YellowKey bekannt wurde. Die Schwachstelle CVE-2026-45585 (CVSS 6.8) erlaubt die Umgehung von BitLocker-Sicherheitsfunktionen. Microsoft hat inzwischen Gegenmaßnahmen bereitgestellt.
Wenn der KI-Assistent zum Spion wird
Forscher haben zudem eine Schwachstelle in Microsoft Copilot aufgedeckt: Indirekte Prompt-Injection. Ein Angreifer kann eine E-Mail mit versteckten Anweisungen senden, die das große Sprachmodell (LLM) ausführt, sobald der Nutzer eine Zusammenfassung anfordert. Die Folge: Copilot liest OneDrive-Dateien und sendet sie an einen externen Server. Zwar wurde kein spezifisches CVE vergeben – da das Modell technisch korrekt arbeitet –, doch die Forscher fordern eine bessere Trennung zwischen Nutzerdaten und externen Eingaben.
Da allein in Deutschland pro Quartal Millionen Konten gehackt werden, ist der Schutz vor Datenklau und Phishing wichtiger denn je. Dieser Gratis-Report zeigt Ihnen, wie Sie Ihre Konten ohne Passwort-Stress auf eine moderne, phishing-resistente Methode umstellen. Jetzt kostenlosen Passkey-Leitfaden sichern
Staatliche Spionage: MiniUpdate-Trojaner im Einsatz
Die Iran-nahe Gruppe Screening Serpens (auch bekannt als UNC1549 oder Smoke Sandstorm) hat eine neue Schadsoftware-Familie namens MiniUpdate im Einsatz. Zwischen März und April 2026 griff die Gruppe Organisationen in den USA, Israel und den Vereinigten Arabischen Emiraten an.
Der Infektionsweg beginnt mit Spear-Phishing und nutzt DLL-Seitenladung sowie AppDomainManager-Hijacking, um Endpoint-Detection-Systeme zu umgehen. Die Malware verwendet Azure-Websites als Kommandozentrale und verfügt über rund 18 Opcodes für Befehle und Dateiexport. Eine zweite Komponente, MiniJunk V2, verschleiert ihre Aktivitäten zusätzlich durch XOR-Verschlüsselung.
2,8 Millionen Angriffe: Die Scareware-Welle CypherLoc
Während staatliche Akteure strategische Ziele verfolgen, setzen Kriminelle auf Massenbetrug. Das CypherLoc-Scareware-Kit wurde seit Jahresbeginn 2026 mit rund 2,8 Millionen Angriffen in Verbindung gebracht. Die Masche: Phishing-E-Mails locken Opfer auf Webseiten, die eine verschlüsselte Nutzlast laden. Daraufhin erscheint ein gesperrter Bildschirm mit einer gefälschten Microsoft-Support-Nummer. Wer anruft, wird von falschen Support-Mitarbeitern unter Druck gesetzt und zur Zahlung gedrängt.
MDASH: Microsofts KI-Armee gegen Sicherheitslücken
Um der Flut an Bedrohungen Herr zu werden, hat Microsoft MDASH vorgestellt – ein multi-modales, agentenbasiertes Sicherheitssystem. Es nutzt über 100 spezialisierte KI-Agenten zur automatisierten Schwachstellensuche. In der Testphase identifizierte das System 16 bisher unbekannte Schwachstellen in Windows, darunter vier kritische Remote-Code-Ausführungslücken, die in den jüngsten monatlichen Sicherheitsupdates geschlossen wurden.
Die Genauigkeit des Systems ist beachtlich: Im CyberGym-Benchmark mit über 1.500 Schwachstellen erreichte MDASH 88,45 Prozent. Bei historischen Fällen mit Systemtreibern lag die Erkennungsrate nahezu perfekt. MDASH befindet sich derzeit in der privaten Vorschau.
Parallel dazu baut Microsoft seine Partnerschaft mit dem Center for Internet Security (CIS) aus. Seit 2023 arbeiten die Organisationen zusammen, um CIS-Benchmarks direkt in Microsoft Defender for Cloud und Intune zu integrieren. Ziel sind automatisierte, standardisierte Sicherheitskonfigurationen – besonders wichtig angesichts der zunehmenden Cloud- und KI-Automatisierung.
Ausblick: Der „Patch-Gap“ bleibt die größte Herausforderung
Microsofts Strategie zeichnet sich ab: Weg vom reaktiven Flicken, hin zu architektonischer Resilienz und KI-gestützter Vorhersage. Der jüngste Windows-11-Insider-Build 26300.8497 vom 22. Mai 2026 zeigt, dass neben Sicherheit auch neue Funktionen wie Screen Tint und erweiterte Braille-Unterstützung entwickelt werden.
Doch die schiere Menge an Schwachstellen – separate Untersuchungen fanden über 10.000 potenzielle Fehler in Open-Source- und kommerziellen Paketen – macht deutlich: Der „Patch-Gap“ bleibt eine enorme Herausforderung. Für Unternehmen bedeutet das: Strengere Identitätsrichtlinien, die Blockierung von Device-Code-Flows, wo immer möglich, und der Umstieg auf phishing-resistente Authentifizierung sind keine Optionen mehr – sie sind überlebensnotwendig.
