Zum Inhalt springen

Microsoft 365: Massiver Password-Spray-Angriff gegen Millionen Konten

Auf den Punkt: MFA-Konfigurationslücken in Microsoft-365-Deployments ermöglichten Angreifern, mit 81 Millionen Anmeldeversuchen mindestens 78 Konten zu kompromittieren.

Unbekannte Angreifer führten zwischen 12. und 26. Juni einen automatisierten Password-Spray-Angriff gegen Microsoft-365-Nutzer durch und erreichten mindestens 78 erfolgreiche Kontokompromittierungen. Das Sicherheitsunternehmen Huntress dokumentierte 81 Millionen Anmeldeversuche, die über einen einzelnen IPv6-Adressbereich eines Internet-Providers erfolgten.

Der Angriff kam aus einem IPv6-Adressbereich des Providers LSHIY LLC. Huntress beobachtete ab 12. Juni einen Anstieg der Spray-Aktivitäten, mit einem Spitzenwert am 22. Juni, als 30 Huntress-Kunden betroffen waren. Der Provider hat seinen Kunden daraufhin die Nutzung dieser IP-Adressen untersagt.

Die Angreifer exploitierten die OAuth-ROPC-Methode (Resource Owner Password Credentials), um mit erbeuteten Benutzerdaten direkt neue Token am /token-Endpoint zu generieren. Dies umging in vielen Fällen die implementierte Multifaktor-Authentifizierung (MFA), weil diese nicht auf alle Cloud-Applikationen konfiguriert war. Typische Lücken: MFA war nur für spezifische Anwendungen wie Microsoft Admin Portals aktiviert, nicht aber für Azure-CLI-Logins. In anderen Fällen galt die MFA-Erzwingung nur für bestimmte Benutzergruppen wie Administratoren, während die kompromittierten Konten außerhalb dieser Gruppen lagen.

Für CISOs bedeutet dies eine kritische Konfigurationslücke: MFA-Richtlinien müssen alle Cloud-Apps ohne Ausnahmen abdecken und dürfen nicht nur auf einzelne Benutzergruppen beschränkt werden. Das Ausmaß des tatsächlichen Schadens über alle Microsoft-365-Kunden hinweg bleibt unbekannt, da Password-Spray-Angriffe typischerweise indiskriminat viele Konten testen.


Quelle: www.csoonline.com · Erschienen 3. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.

Share on: