securitymicrosoftnewsanalysismfaphishing
trending_upTrend: security

FBI-Warnung: Kali365 Phishing-Tool umgeht Microsoft 365 MFA

calendar_month 1. Juni 2026

FBI-Warnung: Kali365 Phishing-Tool umgeht Microsoft 365 MFA

Zusammenfassung

Das FBI hat eine dringende Warnung vor einem neuen Phishing-Tool namens „Kali365“ herausgegeben. Dieses Tool ist in der Lage, die Multi-Faktor-Authentifizierung (MFA) von Microsoft 365 zu umgehen, indem es Session-Token stiehlt. Angreifer erhalten so vollständigen Zugriff auf Outlook, Teams und OneDrive, ohne Passwörter oder MFA-Bestätigungen zu benötigen.

Was ist passiert?

  • Neues Tool identifiziert: Das FBI identifizierte Kali365 als fortschrittliches Phishing-Kit.
  • Token-Diebstahl: Statt Passwörter zu fischen, fängt das Tool die Sitzungs-Cookies (Token) ab, die nach einer erfolgreichen Anmeldung generiert werden.
  • MFA-Umgehung: Da das Token bereits eine erfolgreiche MFA-Authentifizierung repräsentiert, kann der Angreifer es nutzen, um direkt in das Konto einzusteigen.
  • Betroffene Dienste: Sämtliche Microsoft 365 Dienste, einschließlich E-Mail und Cloud-Speicher, sind gefährdet.

Warum es wichtig ist

Diese Entwicklung ist kritisch, da viele Unternehmen auf MFA als primären Schutzmechanismus vertrauen. Wenn Tools wie Kali365 den Token-Diebstahl automatisieren, wird MFA allein unzureichend. Es erfordert einen Wechsel hin zu Phishing-resistenten MFA-Methoden (wie FIDO2/Passkeys) und einer stärkeren Überwachung von Sitzungsaktivitäten.

Beweise

Die Warnung wurde durch offizielle FBI-Kanäle und Sicherheitsnews-Plattformen wie Redmondmag verbreitet. In IT-Communities wie Reddit wird bereits intensiv über die Auswirkungen und Gegenmaßnahmen diskutiert.

Analyse

Kali365 nutzt die Schwachstelle im Vertrauensverhältnis von Browser-Sitzungen aus. Es handelt sich um einen „Adversary-in-the-Middle“ (AiTM) Angriff. Das Tool fungiert als Proxy zwischen dem Nutzer und der echten Microsoft-Anmeldeseite, fängt die Kommunikation ab und extrahiert das finale Session-Token. Dies macht herkömmliche Einmal-Passwörter (OTP) oder App-Bestätigungen nutzlos, da diese bereits während des Prozesses vom legitimen Nutzer eingegeben wurden.

Praktische Erkenntnisse

  • Überwachung verstärken: Administratoren sollten auf ungewöhnliche Anmeldeorte und gleichzeitige Sitzungen aus verschiedenen Regionen achten.
  • Token-Laufzeiten verkürzen: Die Gültigkeit von Session-Token sollte minimiert werden.
  • Phishing-resistente MFA: Umstieg auf Hardware-Sicherheitsschlüssel (z.B. YubiKey) oder Windows Hello for Business.
  • Nutzer-Schulung: Sensibilisierung für AiTM-Phishing-Szenarien, bei denen die URL der Anmeldeseite leicht abweicht.

Offene Fragen

  • Wie verbreitet ist Kali365 bereits in aktiven Kampagnen?
  • Wird Microsoft kurzfristig technische Änderungen am Token-Management vornehmen, um diesen speziellen Angriff zu erschweren?

Quellen

  1. Redmondmag: FBI Urges Microsoft 365 Defenders To Watch for Kali365 Phishing Attacks
  2. Reddit: Microsoft 365 PSA from the FBI
  3. Facebook: FBI WARNING ‼️ A new phishing tool can bypass Microsoft 365