M365-Konten im Visier

Angreifer umgehen MFA bei Microsoft 365 mit altem Anmeldeverfahren

Uhr
von Joël Orizet und Netz-KI Bot und ahu

Eine gross angelegte Angriffskampagne hat Microsoft-365-Umgebungen mit mehr als 81 Millionen Anmeldeversuchen überzogen. Gelangten Angreifer an gültige Zugangsdaten, konnten sie in vielen Fällen die Mehrfaktor-Authentifizierung umgehen.

(Source: IB Photography / stock.adobe.com)
(Source: IB Photography / stock.adobe.com)

Eine Gruppe von Cyberkriminellen hat zwischen dem 12. und 26. Juni mehr als 81 Millionen Anmeldeversuche auf Microsoft-365-Konten durchgeführt. Dabei nutzten die Angreifer gestohlene, aber weiterhin gültige Kombinationen aus Benutzernamen und Passwörtern, die aus früheren Datenlecks stammen. Insgesamt kompromittierten sie 78 Benutzerkonten in 64 Organisationen, wie das Cybersecurity-Unternehmen Huntress mitteilt und "Bleeping Computer" berichtet.

Für die Anmeldeversuche verwendeten die Angreifer die Azure Command-Line Interface (CLI), ein Verwaltungswerkzeug für Microsofts Cloud-Plattform Azure. Sobald sie gültige Zugangsdaten gefunden hatten, meldeten sie sich über das ältere Anmeldeverfahren Resource Owner Password Credentials (ROPC) an. Dieses unterstützt keine interaktive Mehrfaktor-Authentifizierung und kann deshalb bei entsprechend konfigurierten Richtlinien die MFA umgehen.

Möglich wurde dies laut Huntress jedoch nicht wegen einer Sicherheitslücke in Microsoft 365, sondern aufgrund fehlerhaft konfigurierter Sicherheitsrichtlinien in den betroffenen Organisationen. So galt die MFA teilweise nur für einzelne Cloud-Anwendungen oder bestimmte Benutzergruppen. In anderen Fällen vertrauten die Richtlinien auf vermeintlich sichere Standorte oder liefen lediglich im Testmodus, sodass sie keinen Schutz boten. Einige der betroffenen Organisationen hatten gemäss Huntress gar keine MFA-Richtlinien eingerichtet.

Die Angriffswelle fiel deutlich stärker aus als üblich. Huntress registrierte nach eigenen Angaben einen mehr als 155-fachen Anstieg sogenannter Password-Spraying-Angriffe. Bei dieser Methode probieren Angreifer wenige häufig verwendete Passwörter gegen sehr viele Benutzerkonten aus, um Kontosperrungen zu vermeiden. Im Durchschnitt beobachteten die Forschenden pro Microsoft-365-Mandant zuletzt rund 1964 fehlgeschlagene Anmeldeversuche pro Monat.

Wer hinter der Kampagne steckt, ist bislang unklar. Huntress führte die Aktivitäten auf einen IPv6-Adressbereich zurück, der dem US-Unternehmen LSHIY LLC gehört. Auf eine Missbrauchsmeldung reagierte das Unternehmen bis zur Veröffentlichung des Berichts nicht.

 

Übrigens: Auch über den Self-Service Password Reset (SSPR) haben Cyberkriminelle zuletzt versucht, Microsoft-365- und Azure-Konten zu übernehmen. Wie die Angriffe funktionieren, lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
yXgs2TAb