Passwort‑Spray‑Kampagne Hacker starten 81 Millionen Login-Versuche gegen Microsoft 365

Von Marvin Djondo-Pacham 2 min Lesedauer

Anbieter zum Thema

In einer groß angelegten Passwort‑Spray‑Kampagne führten Angreifer in zwei Wochen rund 81 Millionen Anmeldeversuche gegen Micro­soft­365‑Umgebungen durch. Huntress meldete 78 kompromittierte Konten in 64 Organisationen und sehen eine deutliche Konfigurationsschwachstellen.

Wie Huntress betrichtet, haben Angreifer eine Passwort‑Spray‑Kampagne gestartet, die unsicher konfigurierte Auth‑Flows und fehlende oder fehlkonfigurierte Conditional‑Access‑Policies ausnutzt und so teilweise MFA umgeht.(Bild:  KI-generiert)
Wie Huntress betrichtet, haben Angreifer eine Passwort‑Spray‑Kampagne gestartet, die unsicher konfigurierte Auth‑Flows und fehlende oder fehlkonfigurierte Conditional‑Access‑Policies ausnutzt und so teilweise MFA umgeht.
(Bild: KI-generiert)

Laut den Forschern von Huntress nutzten Cyberkriminelle gestohlene Benutzer­name‑Pass­wort‑Kombinationen aus früheren Datenlecks, um Microsoft-365-Konten zu kompromittieren. Beim so genannten Passwort‑Spraying testen Angreifer automatisiert wenige, häufig verwendete Passwörter gegen viele Konten. Das reduziert Account‑Lockouts und erhöht die Trefferquote.

Dabei griffen die Angreifer laut Huntress auf den ROPC‑OAuth‑Mechanismus (Resource Owner Password Credentials) zurück. Dieser sendet Benutzername und Passwort direkt an den Token‑Endpunkt und löst dabei keinen interaktiven MFA‑Prompt aus. In Umgebungen mit unzureichend konfiguriertem Conditional Access kann dieser Flow demnach am Multi‑Factor‑Authentication‑Schutz vorbeiführen.

Fehlkonfigurationen als Einfallstor

Huntress hebt mehrere Konfigurationsfehler hervor: MFA sei in vielen Fällen nur für einzelne Anwendungen oder Nutzergruppen aktiviert gewesen, Policies seien im Report‑Only‑Modus gelaufen oder hätten nur bei nicht‑vertrauenswürdigen Standorten funktioniert. In einigen betroffenen Organisationen habe laut Bericht sogar keine durchgängige MFA‑Policy existiert.

Die Kampagne habe zwischen dem 12. und 26. Juni rund 81 Millionen Login‑Versuche erzeugt, mit einem Aktivitätspeak am 22. Juni. Insgesamt seien 78 Konten in 64 Organisationen kompromittiert worden. Huntress weist darauf hin, dass die Aktivität aus IPv6‑Adressen eines Netzbetreibers (LSHIY LLC, AS32167) stammte. Insgesamt beobachteten die Forscher einen mehr als 155‑fachen Anstieg bei Passwort‑Spray‑Angriffen.

Was Administratoren jetzt tun sollten

Der Sicherheitsanbieter empfiehlt konkrete Gegenmaßnahmen:

  • Conditional‑Access‑Policies so anpassen, dass MFA für „All Cloud Apps“ gilt;
  • ROPC‑Flows blockieren oder durch zusätzliche Prüfungen absichern;
  • phish‑resistente MFA (z. B. FIDO2) einsetzen;
  • Legacy‑Authentifizierung deaktivieren;
  • Lockout‑/Throttling‑Regeln und umfangreiches Monitoring für fehlgeschlagene Logins konfigurieren.

Zudem rät er zu einer Überprüfung der Logs auf erfolgreiche Anmeldungen im fraglichen Zeitraum und zur sofortigen Zurücksetzung kompromittierter Credentials. Endnutzer werden angehalten, MFA zu aktivieren – idealerweise hardware‑basierte Sicherheitskeys –, Passwort­manager zu nutzen und verdächtige MFA‑Anfragen nicht zu bestätigen. Unternehmen sollten zudem prüfen, ob ihre CI/CD‑Tools oder Skripte unsichere Auth‑Flows verwenden.

(ID:50894600)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung