🛡️ CVE Digest
Security- en CVE-samenvattingen, gefilterd op mijn stack

Aanvallers bestoken Microsoft 365: Forg365 PhaaS, nep-passkey-enrollment en AiTM

13 July 2026 · bron: The Hacker News / BleepingComputer · Hoog — actieve phishing-campagnes tegen M365-accounts

Los van de gepatchte CVE’s is er een golf actieve phishing tegen Microsoft 365. Dit gaat niet om een softwarefout maar om misbruik van legitieme M365-/Entra-flows — juist daarom lastig te stoppen met alleen technische patches.

De campagnes

  • Forg365 (Phishing-as-a-Service): een nieuwe PhaaS-operatie (via Telegram, ~$400/maand) combineert device-code phishing, adversary-in-the-middle (AiTM) sessiediefstal, antibot-evasie, AI-gegenereerde lures en post-compromise mailbox-operaties — specifiek gericht op M365-accounts.
  • Nep-Entra-passkey-enrollment: een actor (door Okta gevolgd als O-UNC-066) gebruikt voice-based social engineering om M365-gebruikers een nieuwe Entra-passkey te laten registreren die de aanvaller controleert — gevolgd door data-afpersing.
  • Ter lering: Varonis’ gratis “Breach at the Beach” Entra ID CTF laat defenders Entra ID-aanvalstechnieken onderzoeken in realistische scenario’s.

Waarom dit relevant is

Device-code phishing en AiTM omzeilen klassieke MFA door de sessie (token) te stelen in plaats van het wachtwoord. Nep-passkey-enrollment nestelt een blijvende, “sterke” factor onder controle van de aanvaller. Beide raken de identity-laag van M365 direct.

Advies

  • Beperk of blokkeer de device-code authentication flow waar die niet nodig is (Entra conditional access).
  • Dwing phishing-resistant MFA af en monitor op nieuwe passkey-/authenticator-enrollments.
  • Train gebruikers op voice-phishing rond “beveiligingsverzoeken” en review token-/sessie-events in de Entra sign-in-logs.

Lees het origineel: https://thehackernews.com/2026/07/forg365-phaas-targets-microsoft-365.html

← terug naar overzicht