Zum Inhalt springen

Azure-CLI: 78 Microsoft-Konten über ROPC-Lücke kompromittiert

Auf den Punkt: Angreifer umgingen Multifaktor-Authentifizierung durch das nicht-MFA-kompatible ROPC-Protokoll, weil viele Organisationen ihre Conditional Access Policies unvollständig konfiguriert hatten.

Sicherheitsforscher von Huntress dokumentierten einen massiven Password-Spray-Angriff auf Azure CLI, bei dem Angreifer das veraltete ROPC-Authentifizierungsverfahren nutzten, um 78 Microsoft-Konten in 64 Organisationen zu kompromittieren.

Zwischen dem 12. Juni und 26. Juni führte ein Angreifer über Infrastruktur der LSHIY LLC mehr als 81 Millionen Anmeldeversuche gegen Azure CLI durch. Die Ziele stammten aus Listen bereits kompromittierter Zugangsdaten, ohne spezifische Branchen oder Unternehmenstypen zu bevorzugen. Mindestens 78 Konten in 64 Organisationen wurden erfolgreich kompromittiert.

Der Angriff nutzte das Resource Owner Password Credentials (ROPC)-Verfahren, ein veraltetes OAuth-Authentifizierungsprotokolle, das Benutzername und Passwort direkt an Client-Anwendungen übergibt. Dieses Verfahren ist in der kommenden OAuth-2.1-Spezifikation als veraltet klassifiziert und ist nicht nativ mit Multifaktor-Authentifizierung (MFA) kompatibel. Microsoft selbst rät von der Verwendung ab und empfiehlt sicherere Alternativen, da das Verfahren ein hohes Vertrauens­maß in die Anwendung erfordert.

Die Kompromittierung gelang trotz MFA-Implementierung, weil die Conditional Access Policies der betroffenen Unternehmen Lücken aufwiesen: MFA war oft nur für administrative Gruppen aktiviert, beschränkte sich auf ausgewählte Cloud-Apps statt auf alle Anwendungen, oder galt ausschließlich für Zugriffe von außerhalb vertrauenswürdiger Standorte. Acht der 78 betroffenen Organisationen betrieben überhaupt keine MFA-Richtlinien.

Huntress betont, dass dies kein grundlegendes Versagen von MFA als Technologie darstellt, sondern ein Konfigurationsproblem. Organisationen müssen ihre MFA-Richtlinien explizit so kalibrieren, dass sie auch veraltete Authentifizierungsabläufe wie ROPC blockieren oder zumindest überwachen. Das Angriffsvolumen stieg im Juni deutlich an: während der ersten zehn Tage wurden durchschnittlich zwei bis vier Konten pro Tag gekapert, am 22. Juni stieg die Zahl auf 30 kompromittierte Identitäten.


Quelle: www.it-daily.net · Erschienen 2. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.

Share on: