Sicherheitsforscher und US-Behörden schlagen Alarm: Im Juni 2026 häufen sich Warnungen vor massiven Angriffen auf Microsoft-365-Umgebungen. Im Fokus stehen ausgeklügelte Phishing-Plattformen, kritische Schwachstellen in KI-Tools und gezielte Kampagnen staatlich gesteuerter Gruppen.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr
FBI warnt vor Kali365 – Phishing als Abo-Modell
Das FBI hat Unternehmen vor einem besonders gefährlichen Phishing-Kit namens Kali365 gewarnt. Die Plattform wird über Telegram vertrieben – zum Preis von rund 250 Euro pro Monat oder 2.000 Euro im Jahr. Seit April 2026 wurde das Toolkit bereits in Hunderten von Attacken in Nordamerika und Europa eingesetzt.
Die Methode ist raffiniert: Kali365 nutzt sogenanntes Device-Code-Phishing, um Authentifizierungstoken abzugreifen. Das Opfer wird aufgefordert, einen Code auf einer legitimen Microsoft-Seite einzugeben. Der Angreifer fängt das daraus resultierende Sitzungstoken ab und erhält so Zugriff auf Outlook, Teams und OneDrive – ohne das Passwort zu kennen. Herkömmliche Zwei-Faktor-Authentifizierung (MFA) wird damit wirkungslos.
Evilginx: Wenn die Anmeldeseite zur Falle wird
Parallel dazu dokumentierten Sicherheitsforscher von NetSPI Angriffe mit dem Evilginx-Framework. Dieses Tool fungiert als transparenter Proxy: Es spiegelt echte Microsoft-Loginseiten und fängt in Echtzeit Anmeldedaten, MFA-Token und authentifizierte Sitzungscookies ab.
Ein dokumentierter Fall aus dem Juni 2026 zeigt die Gefahr: Eine Phishing-Kampagne nutzte täuschend echte Domains, um Führungskräfte eines Unternehmens anzugreifen. Besonders brisant: Ein Manager leitete den Phishing-Link versehentlich an zwei externe Firmen weiter – ein Multi-Unternehmens-Breach drohte. Experten betonen, dass Standard-MFA gegen solche Session-Hijacking-Angriffe kaum schützt, da die gestohlenen Token den Angreifern auch nach der eigentlichen Authentifizierung Zugriff gewähren.
Sicherheitslücke in Microsoft 365 Copilot entdeckt
Doch nicht nur externe Angriffe bereiten Sorgen. Forscher von Varonis Threat Labs identifizierten eine kritische Schwachstelle in Microsoft 365 Copilot Enterprise. Die als „SearchLeak“ (CVE-2026-42824) bekannte Lücke nutzte eine Parameter-zu-Prompt-Injection, um sensible Daten abzugreifen – darunter E-Mails, SharePoint-Dokumente und sogar MFA-Codes.
Die Angriffskette nutzte eine Race-Condition in der HTML-Darstellung und Bing Image Search als Proxy für den Datenabfluss. Microsoft hat den Fehler zwar bis zum 1. Juni 2026 mit einem serverseitigen Patch behoben. Der Vorfall zeigt jedoch grundlegende Sicherheitsprobleme von KI-Produktivitätstools auf. Branchenbeobachter warnen: Copilot kann durch seine Fähigkeit, Informationen zu finden und zusammenzufassen, unbeabsichtigt Daten preisgeben, die innerhalb eines Mandanten durch schlecht konfigurierte Berechtigungen übermäßig freigegeben wurden.
Staatliche Akteure im Visier
Die geopolitische Lage verschärft die Bedrohungslage zusätzlich. Mit dem Iran verbundene Gruppen wie Peach Sandstorm und Gray Sandstorm haben im Juni 2026 mehrere Wellen von Password-Spraying-Angriffen auf M365-Konten durchgeführt. Die Kampagnen zielten vor allem auf Organisationen in Israel und den Vereinigten Arabischen Emiraten, erstreckten sich aber auch auf die USA und Europa.
Das britische National Cyber Security Centre (NCSC) berichtete am 19. Juni 2026 von anhaltenden Angriffen auf kritische Infrastrukturen durch staatliche Akteure aus Russland, China und Iran. Demnach verzeichnete das NCSC in den zwölf Monaten bis August 2025 insgesamt 204 national bedeutsame Cyberangriffe – ein drastischer Anstieg gegenüber 89 Vorfällen im Vorjahr. Rund 75 Prozent dieser Attacken gingen auf das Konto staatlich gesteuerter Gruppen.
4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. So schützen Sie sich jetzt kostenlos. Sicher, bequem und passwortlos – So funktionieren Passkeys
Schutzstrategien: Was Unternehmen jetzt tun müssen
Um der wachsenden Flut von Post-Authentifizierungs- und Token-Diebstahl-Angriffen zu begegnen, empfehlen Sicherheitsexperten und Behörden zunehmend den Einsatz phishing-resistenter MFA-Verfahren. Dazu gehören FIDO2-Hardware-Schlüssel oder Passkeys, die gegen die Session-Hijacking-Techniken von Kali365 oder Evilginx immun sind.
Microsoft selbst warnte im April 2026 vor Kampagnen, die plattformübergreifende Teams-Chats nutzen, um Ransomware wie BlackSuit und Royal zu verbreiten. Unternehmen sollten externe Teams-Kommunikation einschränken und Conditional-Access-Richtlinien für die Geräteregistrierung implementieren. Für den Einsatz von KI-Tools wie Copilot empfehlen Forscher regelmäßige Oversharing-Assessments und die Anwendung von Sensitivitätsbezeichnungen – damit automatisierte Suchfunktionen keine geschützten Unternehmensdaten an die Oberfläche spülen.
