Über 81 Mio. Login-Versuche:
Angreifer wollen Microsoft 365 knacken
Während Angriffe auf Online-Dienste oft immer raffinierter werden, nutzen einige Angreifer weiterhin die groben Methoden. So wurde in der letzten Zeit massiv versucht, Accounts in Microsoft 365 per Brute-Force-Angriff zu knacken.
Die beobachtete Kampagne lief zwischen dem 12. und 26. Juni. Die Täter setzten dabei auf sogenanntes Password Spraying. Bei dieser Methode werden bekannte oder häufig verwendete Passwörter systematisch mit einer großen Zahl von Benutzernamen kombiniert. Verwendet wurden offenbar Zugangsdaten, die bereits bei früheren Datenlecks offengelegt worden waren, aber noch immer gültig waren.
Für die Anmeldeversuche nutzten die Angreifer das Azure Command-Line Interface (CLI) Microsofts. Dieses Verwaltungswerkzeug dient normalerweise Administratoren zur Steuerung von Cloud-Ressourcen, etwa für virtuelle Maschinen, Datenbanken oder die Bereitstellung von Anwendungen.
Besonders problematisch war laut Huntress, dass die Täter nach einem erfolgreichen Treffer über den OAuth-Mechanismus "Resource Owner Password Credentials" (ROPC) auf Konten zugreifen konnten. Dieser Authentifizierungsweg unterstützt keine modernen Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung (MFA) oder Single Sign-on. Dadurch konnten in vielen Fällen zusätzliche Sicherheitsabfragen umgangen werden.
Am stärksten war die Aktivität der Angreifer am 22. Juni. Insgesamt registrierte Huntress einen massiven Anstieg solcher Angriffe: Die Zahl der Password-Spraying-Versuche habe sich im Vergleich zu früheren Beobachtungen um mehr als das 155-Fache erhöht. Im Durchschnitt seien inzwischen monatlich rund 1964 fehlgeschlagene Anmeldeversuche pro Microsoft-365-Kunde zu beobachten.
Wer hinter der Kampagne steckt, ist bislang unklar. Nach Angaben der Forscher gingen die Aktivitäten jedoch von einem IPv6-Adressbereich aus, der dem Hosting-Anbieter LSHIY zugeordnet wird. Huntress informierte das Unternehmen über dessen Missbrauchsmeldesystem, erhielt bis zur Veröffentlichung des Berichts jedoch keine Antwort.
Siehe auch:
78 Konten geknackt
Mehr als 81 Millionen Anmeldeversuche innerhalb von nur zwei Wochen wurden nach Erkenntnissen des Cybersecurity-Unternehmens Huntress verzeichnet. Dabei kompromittierten die Angreifer nach Angaben der Sicherheitsforscher 78 Microsoft-Konten, die 64 Unternehmen und anderen Einrichtungen zugeordnet werden konnten.Die beobachtete Kampagne lief zwischen dem 12. und 26. Juni. Die Täter setzten dabei auf sogenanntes Password Spraying. Bei dieser Methode werden bekannte oder häufig verwendete Passwörter systematisch mit einer großen Zahl von Benutzernamen kombiniert. Verwendet wurden offenbar Zugangsdaten, die bereits bei früheren Datenlecks offengelegt worden waren, aber noch immer gültig waren.
Für die Anmeldeversuche nutzten die Angreifer das Azure Command-Line Interface (CLI) Microsofts. Dieses Verwaltungswerkzeug dient normalerweise Administratoren zur Steuerung von Cloud-Ressourcen, etwa für virtuelle Maschinen, Datenbanken oder die Bereitstellung von Anwendungen.
Besonders problematisch war laut Huntress, dass die Täter nach einem erfolgreichen Treffer über den OAuth-Mechanismus "Resource Owner Password Credentials" (ROPC) auf Konten zugreifen konnten. Dieser Authentifizierungsweg unterstützt keine modernen Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung (MFA) oder Single Sign-on. Dadurch konnten in vielen Fällen zusätzliche Sicherheitsabfragen umgangen werden.
Schlecht konfiguriert
Die Forscher stellten fest, dass zahlreiche betroffene Organisationen zwar eine MFA eingeführt hatten, diese jedoch unzureichend konfiguriert war. Häufig galt die zusätzliche Authentifizierung nur für bestimmte Anwendungen statt für sämtliche Cloud-Dienste. In anderen Fällen waren nur ausgewählte Nutzergruppen wie Administratoren geschützt. Teilweise wurden MFA-Abfragen lediglich für Anmeldungen von als unsicher eingestuften Standorten verlangt. Zudem fanden die Experten Richtlinien, die lediglich im Testmodus liefen und daher keine Schutzwirkung entfalteten. Einige der kompromittierten Organisationen verfügten sogar über keinerlei MFA-Richtlinien.Am stärksten war die Aktivität der Angreifer am 22. Juni. Insgesamt registrierte Huntress einen massiven Anstieg solcher Angriffe: Die Zahl der Password-Spraying-Versuche habe sich im Vergleich zu früheren Beobachtungen um mehr als das 155-Fache erhöht. Im Durchschnitt seien inzwischen monatlich rund 1964 fehlgeschlagene Anmeldeversuche pro Microsoft-365-Kunde zu beobachten.
Wer hinter der Kampagne steckt, ist bislang unklar. Nach Angaben der Forscher gingen die Aktivitäten jedoch von einem IPv6-Adressbereich aus, der dem Hosting-Anbieter LSHIY zugeordnet wird. Huntress informierte das Unternehmen über dessen Missbrauchsmeldesystem, erhielt bis zur Veröffentlichung des Berichts jedoch keine Antwort.
Zusammenfassung
- Cyberkriminelle attackierten massiv Microsoft 365 Konten per Spraying
- In zwei Wochen gab es über 81 Millionen Versuche zum Login Angriff
- Die Täter missbrauchten das offizielle Azure Command Line Interface Tool
- Schwache Konfigurationen der Sicherheitsfunktionen halfen den Tätern
- Mehrere betroffene Organisationen boten keinen MFA Schutz für User
- Angriffe kamen laut Forschern aus einem IPv6 Adressbereich bei LSHIY
Siehe auch:
Videos zum Thema
- NiPoGi E3B: Mini-PC mit ungewöhnlichem Prozessor für Office & Co.
- Soayan MN-N5: Billiger Mini-PC für Office und Web im Test
- Blackview MP60: Günstiger Mini-PC für Office & Co. im Test
- Beelink EQR6: Mini-PC mit viel Power für die Office-Nutzung im Test
- Microsoft Loop ist da: Neue Office-App startet als Preview-Version
Beliebte Office-Downloads
Beliebt im Preisvergleich
- Office-Pakete:
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 10 FAQ Einträge
Neue Nachrichten
- PlayStation bald ohne Discs: Händler kritisieren Sony-Schritt scharf
- Neue Xbox ohne Laufwerk: Microsoft will eure alten Spiele-Discs retten
- Forscher haben lebende Zellen von Grund auf künstlich konstruiert
- Über 81 Mio. Login-Versuche: Angreifer wollen Microsoft 365 knacken
- SpaceX soll KI-Gerät planen, Musk dementiert Smartphone-Alternative
- Apple will Speicherchips von sanktionierten China-Herstellern kaufen
- Neues Design, neue Chips: Apples Pläne für iPad Pro und MacBook Pro
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen