ROADtools missbraucht: Wie Angreifer Cloud-Zugangstoken stehlen und MFA umgehen

Es ermöglicht die Enumeration, Gruppen, Geräten und Anwendungen innerhalb eines Cloud-Tenants. Angreifer finden das Tool nützlich, da es über dieselben legitimen Microsoft-APIs läuft, auf die Organisationen im täglichen Betrieb angewiesen sind, was eine Erkennung extrem erschwert.

Analysten der Unit 42, der Bedrohungserkennungsabteilung, haben in einem Bericht, der (CSN) veröffentlicht wurde, dargelegt, wie sich das Toolkit vollwertigen Angriffsplattform entwickelt hat.

Nationstaatliche Bedrohungsakteure wurden dabei beobachtet, dass sie es in realen Cloud-Verletzungen zur Erkundung, zur Aufrechterhaltung des Zugriffs und zur Umgehung ßnahmen einsetzen.

Sicherheitslage und Risiko

Das Toolkit erregte bereits Ende 2021 Aufmerksamkeit, als Cloaked Ursa – ebenfalls als Midnight Blizzard oder APT29 bekannt – nach dem Erreichen des Zugriffs durch Spear-Phishing es einsetzte. Bis 2023 nutzte die iranische Gruppe Curious Serpens, auch bekannt als Peach Sandstorm oder APT33, ROADtools im Anschluss an Passwort-Spray-Kampagnen.

Eine 2025 durchgeführte Phishing-Kampagne, die dem staatlich verbundenen Akteur UTA0355 zugeschrieben wird, verwendete Werkzeuge, deren Token-Management-Funktionen denen ähneln. Die Bedrohung beschränkt sich nicht auf eine einzige Branche.

Jede Organisation, die Microsoft-Cloud-Dienste nutzt, kann Ziel sein, insbesondere solche mit falsch konfigurierten Conditional Access Policies oder Anwendungen, die zu weitreichende Berechtigungen besitzen.

Technischer Hintergrund

Missbrauch gefährlichste Fähigkeit des Toolkits liegt in seiner roadtx-Modul, das die Beschaffung und den Austausch Angreifer gültige Anmeldeinformationen besitzt, kann er roadtx nutzen, um sich über mehrere unterstützte Authentifizierungsabläufe anzumelden, darunter den Device-Code-Flow und den On-Behalf-Of (OBO)-Flow.

Das Ergebnis ist eine Reihe 2.0-Zugriffs- und Erneuerungstokens, die für den stummen Zugriff auf Microsoft-Cloud-Dienste verwendet werden können. Durch die Beschaffung eines Primary Refresh Token (PRT) kann ein Angreifer im Hintergrund kontinuierlich neue Zugriffstokens generieren, ohne dass erneut eine Anmeldeaufforderung ausgelöst wird.

Dies ermöglicht es ihm effektiv, über längere Zeiträume hinweg innerhalb eines kompromittierten Mandanten zu agieren und MFA-Kontrollen vollständig zu umgehen. Ein einzelner kompromittierter PRT gewährt persistente, programmgesteuerte Zugriffsrechte über den gesamten Azure-Mandanten hinweg.

Zudem ermöglicht das roadtx-Modul Angreifern, betrügerische

Zudem ermöglicht das roadtx-Modul Angreifern, betrügerische Geräte in Entra ID zu registrieren, die im Geräteinventar als legitime Einträge erscheinen. Je nach Entra ID-Konfiguration können diese Geräte auch dazu genutzt werden, Conditional Access Policies zu umgehen.

Standardmäßig registriert roadtx Geräte mit der Betriebssystemversion 10.0.19041.928 und benennt sie nach dem Muster DESKTOP gefolgt älligen Ziffern – ein nützlicher Indikator für Verteidiger.

Die Jagd nach ROADtools und empfohlene Verteidigungsmaßnahmen: Forscher 42 empfehlen einen mehrschichtigen Ansatz zur Erkennung und Unterbindung Entra ID-Token-Schutzes zählt zu den direktesten Verteidigungsmaßnahmen, da sie Refresh-Tokens an ein bestimmtes Gerät bindet und deren Diebstahl sowie Wiederverwendung erheblich erschwert.

Sicherheitslage und Risiko

Organisationen sollten zudem den Device-Code-Flow über Conditional Access Policies einschränken, da Angreifer ihn gezielt nutzen, weil er sich besonders gut für automatisierte, skriptbasierte Angriffe eignet. Regelmäßige Audits der OAuth-Anwendungsrechte sind ebenso wichtig.

Benutzerdefinierte oder aufgegebenen Apps mit weitreichenden Zugriffsrechten auf Microsoft Graph, SharePoint oder Exchange sind ideale Ziele für Token-Diebstähle. Die Bereitstellung von Lösungen für privilegierte Identitätsverwaltung (PIM) oder privilegierten Zugriff (PAM) kann den Schaden weiter begrenzen, falls ein Token gestohlen wird.

Zum Threat Hunting sollten Verteidiger nach skriptbasierten User-Agents suchen, beispielsweise nach Zeichenketten wie „python-requests" oder „urllib" in den Authentifizierungsprotokollen.

Technischer Hintergrund

Microsoft Graph-API-Protokolle, die innerhalb eines kurzen Zeitraums hochvolumige, sich wiederholende Abfragen an Endpunkte wie /users, /groups oder /devices zeigen, sind ein starker Indikator für eine roadrecon-Enumeration.

Die Konsolidierung, Graph-API-Aktivitätsprotokollen und Anmeldeinformationen in einer SIEM-Plattform ermöglicht Sicherheitsteams die erforderliche Sichtbarkeit, um diese Aktivitäten zu erkennen, bevor sie eskalieren.

Indikatoren für Kompromittierung (IoCs): User-Agent-String: Indikator: roadtools; Beschreibung: HTTP-User-Agent-String, der mit der Aktivität des ROADtools-Tools im Netzwerkverkehr verbunden ist. User-Agent-String: Indikator: python-requests/; Beschreibung: HTTP-User-Agent-String, der /roadlib verwendet wird, um Token-Anfragen über Python zu stellen.

OS-Version (Standard): Indikator: 10.0.19041.928; Beschreibung: Standard-OS-Version,

OS-Version (Standard): Indikator: 10.0.19041.928; Beschreibung: Standard-OS-Version, die bösartigen Geräts in Entra ID festgelegt wird. Geräte-Namensmuster: Indikator: DESKTOP-; Beschreibung: Standardbenennungskonvention, die für die Registrierung bösartiger Geräte in Entra ID verwendet wird.

OAuth-Berechtigungsbereich: Indikator: Directory.ReadWrite.All; Beschreibung: Umfassende Microsoft Graph-Berechtigung, die über roadtx für die Aufzählung: Indikator: Device.ReadWrite.All; Beschreibung: Microsoft Graph-Berechtigung, die mit der Manipulation äten über ROADtools in Verbindung steht.

OAuth-Berechtigungsbereich: Indikator: Application.ReadWrite.All; Beschreibung: Microsoft Graph-Berechtigung, die Token auf Anwendungsebene missbraucht wird. OAuth-Berechtigungsbereich: Indikator: AuditLog.ReadWrite.All; Beschreibung: Microsoft Graph-Berechtigung, die potenziell gezielt wird, um Auditprotokolle zu erreichen oder zu manipulieren.

Technik und Auswirkungen

Hinweis: IP-Adressen und Domains wurden absichtlich defanged (z. B. [.] ), um eine unbeabsichtigte Auflösung oder das Erstellen Re-Fang-Operationen sind ausschließlich in kontrollierten Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihrem SIEM durchzuführen.

Tushar ist ein Senior-Experte für Cybersecurity und Berichterstattung über Sicherheitsverletzungen. Er spezialisiert sich auf die Berichterstattung über Nachrichten und Trends im Bereich der Cybersicherheit sowie auf neue Bedrohungen, Datenlecks und Malware-Angriffe. Mit jahrelanger Erfahrung bringt er Klarheit und Tiefe in komplexe Sicherheitsthemen ein.

Verwaltung mehrerer Online-Konten im Jahr 2026: Sicherheit, Struktur und Skalierbarkeit. Frankreich plant den Ersatz Regierungs-Desktops. Die Injektionsverwundbarkeit des Flowise AI-Agenten-Builders wurde in Angriffen ausgenutzt; über 15.000 Instanzen wurden kompromittiert.