Kürzlich hat Microsoft Details über eine neue Phishing-Technik veröffentlicht: Device Code Phishing. Diese Methode wird von der Bedrohungsgruppe Storm-2372 genutzt und missbraucht den Device Code Authentication Flow, der oft von Geräten ohne Tastatur wie Microsoft Teams Rooms oder IoT-Geräten verwendet wird. Angreifer bringen Nutzer dazu, einen schädlichen Device Code auf microsoft.com/devicelogin einzugeben. Dadurch erhalten sie unbefugten Zugriff auf Konten, ohne dass herkömmliche Phishing-Schutzmassnahmen greifen.

Microsoft Threat Intelligence Report

Table of Contents

Warum ist das gefährlich?

Im Gegensatz zu klassischen Phishing-Angriffen werden hier weder Passwörter noch MFA-Codes gestohlen. Stattdessen überzeugt der Angreifer das Opfer, einen schädlichen Device Code auf einer offiziellen Microsoft-Login-Seite einzugeben. Sobald dies passiert, erhält der Angreifer Zugriff auf das Konto. Da die Device Code-Authentifizierung nicht immer MFA oder Phishing-resistente Verfahren wie FIDO2 erzwingt, ist diese Methode besonders riskant.

Beste Schutzmassnahme: Device Code Authentifizierung blockieren

Am besten schützt du deine Umgebung, indem du Device Code Authentication in Conditional Access (CA) vollständig blockierst. So konfigurierst du das:

  1. Neue Conditional Access Richtlinie in Microsoft Entra ID erstellen.
  2. Alle Nutzer einbeziehen, aber Notfallkonten ausschliessen.
  3. Die Richtlinie auf alle Cloud-Apps anwenden, mindestens aber auf kritische Apps wie Exchange Online und SharePoint.
  4. Authentifizierungsanfragen mit Device Code Flow blockieren.
  5. Optional erst in Report-Only testen, dann vollständig aktivieren.
    • Lass die Richtlinie nicht für immer im Report-Only-Modus, das bringt wenig 😉

Mit dieser Massnahme verhinderst du, dass Angreifer Device Code Authentifizierung missbrauchen können.

Zur einfachen Umsetzung kannst du eine vorgefertigte JSON-Vorlage für Conditional Access hier importieren:

Conditional Access Template @GitHub

Ausnahmefälle: Microsoft Teams Rooms & andere Geräte

Device Code Flow komplett zu blockieren ist die sicherste Methode. Es gibt aber legitime Szenarien, in denen man ihn benötigt, zum Beispiel bei Microsoft Teams Rooms (MTR) oder kioskartigen Geräten. Falls du Ausnahmen zulassen musst, solltest du Folgendes tun:

  • Eine eigene Sicherheitsgruppe für MTR-Geräte erstellen, die Device Code Authentication erlaubt.
  • Dynamische Gruppen nutzen, um Geräte mit Teams Rooms Pro Lizenz automatisch hinzuzufügen.
  • Zugriff nur von bekannten IP-Adressen erlauben, aber unbedingt mit der MTR-Gruppe kombinieren.

Zusätzliche Schutzmassnahmen

Neben der Blockierung der Device Code Authentifizierung solltest du weitere Sicherheitsmassnahmen ergreifen:

  • MFA erzwingen, am besten Phishing-resistente Verfahren wie FIDO2-Keys oder Windows Hello for Business.
  • Conditional Access Sign-In Logs überwachen, um unerwartete Device Code Anmeldeversuche zu erkennen.
  • Mitarbeiter schulen, damit sie nicht leichtgläubig Codes auf fremden Seiten eingeben.
  • Microsoft Defender for Identity aktivieren, um verdächtige Anmeldeaktivitäten zu erkennen.

Fazit

Device Code Phishing ist eine ernsthafte Gefahr. Die gute Nachricht: Mit Conditional Access kannst du dein Unternehmen davor schützen. Wenn nur genehmigte Geräte diese Authentifizierungsmethode nutzen dürfen, wird es für Angreifer fast unmöglich, erfolgreich zu sein. Die beste Strategie ist eine Kombination aus Richtlinien, Monitoring und Aufklärung.

Leave a Reply

Your email address will not be published. Required fields are marked *

Florian Salzmann
Leading Expert at UMB AG

Stay in the Loop with My Newsletter!