Gleich mehrere neuartige Angriffsmethoden zielen nicht mehr auf Passwörter ab, sondern auf die Umgehung von Authentifizierungsmechanismen auf Protokollebene. Das FBI warnt vor einer Plattform, die seit April aktiv Unternehmen in aller Welt attackiert.
FBI warnt vor „Kali365″ – Phishing als Dienstleistung
Die als Kali365 bekannte Phishing-as-a-Service-Plattform hat sich auf Microsoft-365-Konten spezialisiert. Sie gehört zu einer neuen Generation von Angriffswerkzeugen, die unter Sicherheitsexperten als „Machine Code Phishing“ bezeichnet werden. Weitere Vertreter dieser Kategorie sind Tycoon2FA und EvilTokens.
Das Prinzip ist raffiniert: Statt Passwörter zu stehlen, kapern die Angreifer sogenannte OAuth-Tokens. Konkret nutzt Kali365 den Device-Code-Login-Fluss von Microsoft. Opfer erhalten eine Phishing-Mail mit einem Gerätecode. Geben sie diesen auf einer legitimen Microsoft-Seite ein, erhalten die Hacker direkten Zugriff auf Outlook, Teams und OneDrive – und das ohne jemals ein Passwort zu benötigen.
Die mehrstufige Authentifizierung (MFA) wird dabei elegant umgangen. Denn der Angriff erfordert gar nicht erst den Diebstahl von Anmeldedaten. Sicherheitsanalysten bestätigen, dass diese Methode selbst gut geschützte Konten gefährdet.
Besonders brisant: Der Tycoon2FA-Kit, der nach einer vorübergehenden Unterbrechung im März 2026 wieder aktiv ist, verfügt über verbesserte Fähigkeiten zur Ausnutzung dieser Device-Code-Schwachstelle.
Neue Sicherheitsrichtlinien für KI-Agenten
Die Bedrohungslage hat auch Microsoft selbst zum Handeln gezwungen. Am 26. Juni 2026 veröffentlichte der Konzern aktualisierte Sicherheitsrichtlinien für das Model Context Protocol (MCP) . Dieses Protokoll gewinnt zunehmend an Bedeutung, da Unternehmen vermehrt automatisierte KI-Agenten in Produktionsumgebungen einsetzen.
Die neuen Richtlinien verlangen von Unternehmen die Implementierung strenger Identitäts- und Gateway-Kontrollen. Konkret empfiehlt Microsoft:
- Einführung von OAuth 2.1 mit PKCE (Proof Key for Code Exchange)
- Verpflichtende Schema-Überprüfungen
- Implementierung von Egress-Limits
Moderne Angriffe wie „Kali365“ zeigen, dass technische Hürden allein nicht mehr ausreichen, um Unternehmen vor Cyberkriminalität zu schützen. Dieser kostenlose Report enthüllt die aktuellen Methoden der Hacker und zeigt, wie Sie Sicherheitslücken proaktiv schließen. Anti-Phishing-Paket jetzt gratis herunterladen
Diese Maßnahmen sollen Protokollierungs- und Zustimmungsmechanismen für MCP-Server gewährleisten. Die großen Cloud-Anbieter Azure, AWS und Google Cloud bieten bereits kompatible Gateway-Management-Lösungen an.
Alte Schwachstellen, neue Gefahren
Während identitätsbasierte Angriffe boomen, bleiben klassische Software-Sicherheitslücken ein Thema. Microsoft hatte bereits Ende 2025 eine schwerwiegende Schwachstelle in Excel (CVE-2025-60727) geschlossen. Der Fehler erlaubte potenziell die Ausführung beliebigen Codes beim Öffnen einer präparierten Tabelle.
Aktuell stehen weitere Verwundbarkeiten im Fokus:
- libxml2 (CVE-2026-0989): Diese im Januar 2026 bekannt gewordene Schwachstelle im RelaxNG-Parser kann zu Stack-Überläufen und Dienstverweigerung führen – ausgelöst durch verschachtelte Schema-Importe.
- StrikeShark-Kampagne: Sicherheitsforscher haben eine Cyber-Spionagekampagne identifiziert, die einen neuartigen Dropper zur Verbreitung von Cobalt Strike nutzt. Die Kampagne greift auf Schwachstellen in Microsoft- und anderen Unternehmenssoftware zurück, die teilweise bis ins Jahr 2016 zurückreichen.
Linux-Schwachstelle gefährdet Cloud-Infrastrukturen
Nicht nur Microsoft-Produkte sind betroffen. Am 16. Juni 2026 wurde ein Exploit für eine kritische Linux-Kernel-Sicherheitslücke (CVE-2026-46331) veröffentlicht. Die als „Pedit COW“ bekannte Schwachstelle betrifft Kernel der Versionen 5.18 bis 7.1-rc7.
Angesichts immer komplexerer Bedrohungen und neuer gesetzlicher Anforderungen müssen Unternehmen ihre IT-Sicherheitsstrategie dringend anpassen. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihr Unternehmen ohne hohe Investitionen effektiv vor aktuellen Cyberangriffen schützen können. Gratis-E-Book zur IT-Sicherheit anfordern
Der Fehler liegt im Traffic-Control-Subsystem und ermöglicht unprivilegierten lokalen Nutzern, volle Root-Rechte zu erlangen. Für die wichtigsten Distributionen – darunter Ubuntu 24.04.4 und RHEL 10.0 – stehen Patches bereit. Administratoren, die nicht sofort aktualisieren können, wird empfohlen, nicht privilegierte User-Namespaces als temporären Workaround zu deaktivieren.
Was Unternehmen jetzt tun sollten: Die Angriffsmuster zeigen, dass traditionelle Sicherheitsmaßnahmen nicht mehr ausreichen. Neben der sofortigen Installation verfügbarer Patches müssen Unternehmen ihre Authentifizierungsprozesse überdenken. Besonders der Device-Code-Login-Fluss sollte genau geprüft und gegebenenfalls eingeschränkt werden. Die Implementierung von OAuth 2.1 mit PKCE ist kein Nice-to-have mehr, sondern eine dringende Notwendigkeit.
