Zurück zu allen Beiträgen
Veröffentlicht am · von Renaud Deraison

Der neunstufige Angriff, der schon an Stufe eins stirbt

Microsoft hat eine neunstufige Ransomware-Kette dokumentiert, die mit einer externen Teams-Nachricht beginnt, die sich als Helpdesk ausgibt, und damit endet, dass Rclone still und leise den Netzwerk-Share exfiltriert. Acht dieser neun Schritte brauchen das Host-Betriebssystem. Keiner von ihnen kann gegen einen Tab laufen.

Microsoft hat diese Woche eine neunstufige Angriffskette veröffentlicht: eine Teams-Nachricht von einem gefälschten Helpdesk, eine Quick-Assist-Sitzung, ein DLL-Side-Load über ein signiertes Hersteller-Binary, WinRM quer durchs Netz, Rclone hinaus in den Cloud-Speicher des Angreifers. Acht der neun Stufen brauchen das Host-Betriebssystem als echten Desktop. Ein Browser-Tab, der in einer wegwerfbaren VM läuft, ist keiner.

Am 20. April 2026 hat Microsofts Threat-Analysis-Team eine Analyse einer neunstufigen Angriffskette veröffentlicht, die mittlerweile von mehreren Ransomware-Affiliates produktiv eingesetzt wird. Der erste Zug ist sozial: In Microsoft Teams trifft eine Nachricht aus einem externen Tenant ein, von jemandem, der behauptet, aus der IT zu sein, und der das Opfer auffordert, eine Fernwartungssitzung zu starten, um „ein Kontoproblem" zu beheben oder „ein Sicherheitsupdate zu installieren". Der letzte Zug ist finanzieller Natur: Rclone, ein legitimes Cloud-Sync-Werkzeug, streamt den Fileserver in den vom Angreifer kontrollierten Objektspeicher, während die Ransomware verschlüsselt, was zurückbleibt.

Microsofts Formulierung ist es wert, direkt zitiert zu werden: „Threat Actors missbrauchen zunehmend externe Microsoft-Teams-Zusammenarbeit, um sich als IT- oder Helpdesk-Personal auszugeben und Nutzer dazu zu bringen, Zugriff für Fernwartung zu gewähren." Neu ist hier nicht das Social Engineering – vorgeben, der Helpdesk zu sein, ist so alt wie der Helpdesk – neu ist die Zustellungs-Oberfläche. Teams ist der Kollaborationsclient, der auf jedem Firmen-Desktop sitzt, jederzeit angemeldet, automatisch beim Boot gestartet, mit einer Benachrichtigungs-API, die eine externe Nachricht identisch wie eine interne aussehen lässt. Teams ist, im Jahr 2026, ein besserer Phishing-Kanal als E-Mail.

Die Kette, von vorne bis hinten.

Hier ist, was die neun Stufen auf einer Windows-Maschine tatsächlich tun. Die Nummern stammen von Microsoft, die Umschreibung in Klartext von uns.

SOZIAL — STUFE 1HOST-BETRIEBSSYSTEM — STUFEN 2 BIS 91Externe Teams-DM„IT-Helpdesk"2QuickAssistnative .exe3DirekteKontrolleAngreifer4Recon& RechtePowerShell5PayloadablegenProgramData6DLL-Side-Loadvia Adobe7HTTPS-C2fällt nicht auf8WinRMlateralzum DC9RcloneExfilCloudJeder Schritt hier läuft auf dem Windows-Desktop, an dem der Nutzer angemeldet ist.WAS JEDE HOST-STUFE BRAUCHTStufe 2 · eine signierte native Windows-Executable starten (Quick Assist)Stufe 4 · cmd.exe und PowerShell öffnen, AD-Gruppenmitgliedschaft lesenStufe 5 · Dateien nach C:\ProgramData schreiben, Neustart überlebenStufe 6 · eine DLL neben einer legitim signierten Hersteller-.exe auf Platte ablegenStufe 8 · eine WinRM-Sitzung zu einem domänengebundenen Host im LAN öffnenStufe 9 · lokale Zugangsdaten und Dateifreigaben lesen, rclone.exe aufrufen
Die Kette, wie Microsoft sie dokumentiert hat. Stufe 1 ist eine Nachricht eines Fremden im Chat-Client des Unternehmens. Die Stufen 2 bis 9 sind eine Folge von Operationen auf dem Windows-Host – Quick Assist, PowerShell-Aufklärung, eine DLL, die von einem legitim signierten Adobe- oder Autodesk-Binary geladen wird, Windows Remote Management über domänengebundene Maschinen hinweg und Rclone, das den Fileserver exfiltriert. Die Ransomware-Verschlüsselung erfolgt, nachdem die Daten schon draußen sind.

Die Kette ist effizient und langweilig, und genau so sieht gutes Ransomware-Handwerk im Jahr 2026 aus. Nichts davon ist ein Zero-Day. Quick Assist ist ein Erstanbieter-Fernwartungswerkzeug von Microsoft, das mit Windows ausgeliefert wird. PowerShell ist eine Erstanbieter-Administrationsshell. DLL-Side-Loading – eine vom Angreifer kontrollierte Bibliothek neben ein legitim signiertes Programm legen, damit das signierte Programm den bösartigen Code lädt – ist zwei Jahrzehnte alt. WinRM ist, wie Domänen-Administratoren Windows-Flotten eigentlich verwalten sollen. Rclone ist ein Open-Source-Cloud-Sync-Werkzeug, das man über Homebrew installieren kann. Der Angriff besteht aus unterstützten, signierten, von der IT abgesegneten Primitiven. Genau deshalb ist er mit klassischem Endpoint-Tooling schwer zu erkennen: Jeder einzelne Schritt sieht wie etwas aus, das das IT-Team absichtlich tut.

Die positive These: die Kette an Schritt eins enthaupten.

Überlegen Sie nun, wie dieselbe Kette aussieht, wenn Stufe eins nicht eine Benachrichtigung ist, die in einem nativen Windows-Desktop-Client hochploppt, sondern eine Benachrichtigung, die in einem Browser-Tab hochploppt. In einem Bromure-Browser-Tab. In einer wegwerfbaren Linux-VM, die keine persistente Platte hat, keine Domänenmitgliedschaft, keine Windows-Binaries, keinen WinRM-Listener, kein Rclone, keinen Adobe Reader, in den man side-loaden könnte, kein gemeinsames Dateisystem mit dem Host, und die zerstört wird, sobald das Fenster geschlossen wird.

Stufe 1 landet trotzdem. Der externe Teams-Tenant kann die DM immer noch schicken. Der Nutzer sieht die Nachricht nach wie vor. Der Social-Engineering-Druck ist immer noch da. Nichts an Bromure hindert einen Fremden, der sich als Helpdesk ausgibt, daran, „Ich muss ein Sicherheitsupdate auf Ihrer Maschine installieren, lassen Sie mich eine Quick-Assist-Sitzung starten" in ein Chatfenster zu tippen.

Aber bei Stufe 2 ist Schluss. Der Browser-Tab kann Quick Assist nicht starten, weil Quick Assist ein natives Windows-Binary ist und der Tab ein Chromium-Fenster innerhalb einer Linux-VM, die kein Quick Assist installiert hat, keine Möglichkeit, eines zu installieren, und keinen IPC-Kanal zu der Windows-Maschine, die auf der anderen Seite des Geräts läuft, auf dem Bromure läuft. Und weil die Kette streng sequenziell ist – jede folgende Stufe braucht das Artefakt der Stufe davor –, bedeutet eine Enthauptung bei Schritt zwei, dass die Stufen 3 bis 9 niemals stattfinden.

NATIVER TEAMS-DESKTOP-CLIENT — alle 9 Stufen laufen auf dem Host1Teams-DM(auf Host)2Quick Assist3Fernsteuerung4Recon5Payload-Drop6DLL-Side-Load7HTTPS-C28WinRM lateral9Rclone-ExfilNeun von neun.TEAMS IN EINEM BROMURE-TAB (teams.microsoft.com) — nur Stufe 1 landet1Teams-DM(in Tab-VM)2Quick Assistkeine native .exe3Fernsteuerungnichts zu steuern4Reconkein PowerShell5Payload-Dropkeine geteilte Platte6DLL-Side-Loadkein Adobe als Träger7HTTPS-C2VM stirbt beim Schließen8WinRM lateralnicht im LAN9Rclone-Exfilkeine Host-CredsEins von neun. Stufe 1 landet in einer wegwerfbaren VM. Die Stufen 2–9 brauchen einen Host, den sie nicht erreichen.Einschränkung: Das gilt nur, wenn der Nutzer Teams im Browser öffnet. Eine Installation des nativen Clients ist eine Host-App und gehört zu Zeile A.
Dieselbe Kette, gesehen durch zwei Nutzergewohnheiten. Oben: Teams als nativer Desktop-Client auf dem Host-Betriebssystem – jede Stufe hat, was sie braucht. Unten: Teams unter teams.microsoft.com geöffnet in einem Bromure-Tab – Stufe eins landet in der wegwerfbaren VM, jede Stufe danach ist etwas, das die VM strukturell nicht tun kann.

Es gibt eine verführerische, aber zu starke Lesart dieses Diagramms: „Nutze Bromure, sei immun gegen Ransomware." Das ist nicht die Aussage. Die Aussage ist enger, und die engere Version ist ehrlicher und nützlicher.

Wo die Grenze tatsächlich verläuft.

Was hier die Arbeit macht, ist kein cleverer Teams-spezifischer Filter. Es ist eine strukturelle Eigenschaft, wie Bromure Web-Inhalte ausführt. Jeder Tab in Bromure läuft in seiner eigenen wegwerfbaren Linux-VM auf Ihrem Mac. Der Browser, den der Nutzer sieht, ist Chromium, das in diesem Linux-Gast läuft. Der Tab wird von der VM begrenzt. Der Host wird vom Hypervisor begrenzt. Wenn Sie den Tab schließen, wird die VM zerstört. Wenn Sie einen neuen Tab öffnen, wird aus einem sauberen Disk-Image eine neue VM erzeugt.

WEGWERFBARE TAB-VM (Linux-Gast)Teams · teams.microsoft.com!Extern · contoso-support.com„Hallo – IT-Helpdesk hier. Ich muss,dass Sie ein Quick Assist annehmen"NachrichteneingabeStufe 1 lebt hier, und nirgendwo sonstwegwerfbar · kein Host-Dateisystem · keine nativen Binarieszerstört, sobald der Tab schließtHYPERVISORmacOS-HOST — was die Stufen 2–9 wollenQuick-Assist-BinaryPowerShell / cmd.exeC:\ProgramDataSignierte Adobe-.exeRegistry · Run-KeysWinRM-Listener im LANDomänen-ZugangsdatenDateifreigabe · rclone.exe
Wo die Grenze sitzt. Der Helpdesk-Imitator kann in das Chatfenster tippen (Stufe 1). Jede Stufe danach erfordert eine Aktion auf dem macOS-Host – ein natives Binary zum Starten, ein Dateisystem, auf dem man persistieren kann, ein LAN, in dem man sich lateral bewegt. Die Hypervisor-Grenze liegt zwischen dem Angreifer und all dem. Das Chatfenster ist auf der einen Seite; das Helpdesk-Werkzeug, das der Angreifer benutzen will, ist auf der anderen.

Wenn der Angreifer in Stufe 2 sagt nimm meine Quick-Assist-Sitzung an, existiert der Mechanismus, den er aufrufen will, auf der anderen Seite der Grenze nicht. Es gibt kein Quick Assist in einem Linux-Gast. Es gibt keinen Weg für eine Webseite – selbst für eine, der der Nutzer voll vertraut –, aus dem Gast heraus in den Host hineinzureichen, um dort ein natives macOS- oder Windows-Binary zu starten. Eine solche Brücke gibt es nicht; sie würde den ganzen Sinn der Architektur untergraben. Die Angreiferkette hängt von einem Satz von Fähigkeiten ab – native App starten, in ein persistentes Dateisystem schreiben, eine DLL neben ein signiertes Hersteller-Binary laden, eine WinRM-Sitzung öffnen, Host-Zugangsdaten lesen – und die Tab-VM hat keine einzige davon, qua Konstruktion.

Das ist keine Funktion, die wir speziell gegen die Teams-Helpdesk-Bedrohung eingebaut haben. Es ist dieselbe Eigenschaft, die Bromure generell gegen Browser-Zero-Days, bösartige Erweiterungen und Infostealer nützlich macht. Stufe 1 ist der einzige Teil der Kette, dem es interessiert, was der Nutzer angeklickt hat. Jede folgende Stufe braucht den Desktop des Nutzers. Wenn man den Browser auf einen anderen Computer als den Desktop setzt, geht es in der Kette nicht mehr um die Entscheidungen des Nutzers, sondern um die Architektur der Maschine.

Was das nicht löst.

Wenn derselbe Nutzer Microsoft Teams als nativen Desktop-Client installiert hat – die Microsoft Teams.app auf macOS oder den Windows-Desktop-Client, beide außerhalb von Bromure laufend, beide in dasselbe Nutzerkonto angemeldet –, dann landet die DM aus dem externen Tenant auf dem Host. An dem Punkt sind wir wieder in Zeile A des Diagramms. Stufe 1 ist eine native Benachrichtigung. Stufe 2 ist der Nutzer, der auf seinem tatsächlichen Desktop eine Quick-Assist-Sitzung akzeptiert. Die Tab-VM kommt in dieser Geschichte gar nicht erst vor. Bromure kann nicht schützen, was nicht in Bromure läuft.

Ebenso: Wenn die IT-Richtlinie der Organisation ist, externe Teams-DMs auf Tenant-Ebene zu blockieren – was Microsofts Analyse auch empfiehlt –, dann erreicht Stufe 1 den Nutzer in keiner der beiden Welten, und die Architekturdiskussion ist hinfällig. Das ist der richtige erste Fix. Bromure ist eine Verteidigung für den Fall, dass der erste Fix nicht angewandt wurde, oder dass der Nutzer auf einem Privatgerät ist, oder dass die Richtlinie eine Ausnahme hat, oder dass der Angreifer einen Tenant gefunden hat, der sie nicht durchgesetzt hat.

Was die Browser-Gewohnheit ändert

Teams unter teams.microsoft.com in einem Bromure-Tab zu öffnen verlagert Stufe eins in eine wegwerfbare Linux-VM auf Ihrem Mac. Wenn Sie den „Support annehmen"-Link klicken, den der Betrüger schickt, ist das Werkzeug, das er haben wollte, nicht dort, wo der Klick landet. Die Bitte scheitert, weil die Fähigkeit nicht vorhanden ist.

Was der native Client nicht ändert

Wenn Sie bereits die Teams-Desktop-App installiert und angemeldet haben, trifft die DM dort ein, und der Host ist genauso exponiert, wie Microsoft es beschreibt. Den Desktop-Client zu entfernen, oder ihn auf eine dedizierte Arbeitsmaschine zu verbannen, ist die Verhaltensänderung, die Bromure ermöglicht – keine, die es erzwingt.

Was Bromure nicht verhindert

Ein Nutzer, der sich dazu überreden lässt, sein Firmenpasswort in ein Formular innerhalb des Bromure-Tabs zu tippen, verliert dieses Passwort trotzdem. Die Anti-Phishing-Prüfung des Browsers wird versuchen, das Formular abzufangen, aber ein entschlossenes Social-Engineering-Ziel kann jede solche Absicherung überwinden. Credential-Phishing und Verteidigung der VM-Grenze sind unterschiedliche Probleme.

Die ehrliche Form der Aussage

Für einen Nutzer, dessen Arbeitsgewohnheit Browser-Teams ist, verwandelt Bromure einen neunstufigen Einbruch in ein einstufiges Gespräch. Für einen Nutzer, dessen Arbeitsgewohnheit der native Client ist, ändert Bromure nichts an diesem Angriff. Genau darum veröffentlichen wir diesen Beitrag, statt einen kürzeren, lauteren.

Warum die Browser-Gewohnheit es wert ist, verteidigt zu werden.

Die meisten Chat-Clients in Unternehmen – Teams, Slack, Discord, Zoom – werden zugleich als native Desktop-App und als Web-App unter derselben URL ausgeliefert. Die Web-Version ist für die allermeisten Dinge, die Menschen in diesen Clients tun, voll funktionsfähig: Nachrichten lesen, Nachrichten schreiben, suchen, Dateien anhängen, Anrufe führen. Die Web-Version startet nicht automatisch beim Boot. Die Web-Version hält keinen persistenten Prozess auf dem Host am Leben, den Angreifer anzapfen könnten. Die Web-Version liefert keinen Update-Kanal, der in der Vergangenheit selbst Vektor für eigene Supply-Chain-Vorfälle war. Und – einzigartig, wenn der Browser Bromure ist – lebt die Web-Version in einem Computer, der sich kein Dateisystem mit der echten Maschine des Nutzers teilt.

Die Botschaft ist nicht, dass jeder Nutzer morgen die Teams-Desktop-App deinstallieren soll. Sondern dass die Web-First-Option existiert, seit Jahren still und leise akzeptabel war, und – im Lichte dessen, was Microsoft am 20. April beschrieben hat – für jeden Nutzer, der nicht spezifisch eine Funktion braucht, die nur der Desktop-Client bietet, nun materiell die sicherere ist. Bromure macht diese Wahl relevant. Eine Web-Teams-Sitzung in einem gewöhnlichen Chrome-Fenster ist immer noch eine Sitzung, die sich ein Dateisystem mit jedem anderen Programm auf Ihrem Mac teilt. Eine Web-Teams-Sitzung in einem Bromure-Tab nicht.

Eine Geschichte, und was sie ändert.

Microsofts neunstufige Analyse wird nicht die letzte ihrer Art sein. Die Form – externer sozialer Kanal → Fernwartungswerkzeug → Aufklärung → Persistenz über signierte Binaries → laterale Bewegung → Exfiltration – ist die Form, die menschenbetriebene Ransomware-Einbrüche heute meistens annehmen, egal in welchem Chat-Client sie beginnen. Der Kollaborationsclient ist das neue E-Mail-Postfach. Das „Klicken, um die Support-Sitzung zu akzeptieren" ist das neue „Klicken, um Makros zu aktivieren". Die anschließende Hands-on-Keyboard-Arbeit ist der Angriff selbst.

Wenn die tägliche Arbeit des Nutzers auf einer Maschine stattfindet, auf der Chat-Client und Fileserver sich ein Betriebssystem teilen, muss der Angreifer nur einen Fuß in dieses Betriebssystem bekommen, um die anderen acht Schritte auszuführen. Wenn die tägliche Arbeit des Nutzers in einem Browser stattfindet, der in einer VM läuft, aus der der Chat-Client nicht entkommen kann, braucht der Angreifer einen ganz anderen Satz von Primitiven, um den Job zu beenden – Primitive, die die aktuelle Generation von Ransomware-Playbooks nicht hat.

Das ist keine Immunität. Das ist Enthauptung an Schritt eins. Installieren Sie Bromure, nutzen Sie darin teams.microsoft.com statt des nativen Clients für die Teile Ihres Arbeits-Chats, wo es geht, und lassen Sie die nächste neunstufige Kette das Problem des Angreifers sein.