Microsoft, Millionen

Microsoft 365: 81 Millionen Anmeldeversuche in zwei Wochen

04.07.2026 - 12:43:04 | boerse-global.de

Mehrere Sicherheitslücken und eine massive Password-Spraying-Kampagne mit 81 Millionen Versuchen erschüttern Microsoft 365.

Microsoft 365: Neue Sicherheitsvorfälle und Angriffswellen
Microsoft - Eine Nahaufnahme einer digitalen Benutzeroberfläche, die Datenflüsse und Sicherheitsbedrohungen in einem Rechenzentrum anzeigt. 04.07.2026 - Bild: über boerse-global.de

Von einer potenziellen Zero-Click-Lücke bis zu massiven Passwort-Angriffen – die Bedrohungslage ist ernst.

SSRF-Gerüchte: Angeblicher Exploit auf dem Schwarzmarkt

Am heutigen Samstag, dem 4. Juli 2026, kursieren Berichte über eine mögliche Pre-Authentication-Server-Side-Request-Forgery-Lücke (SSRF) in der Microsoft-365-Kerninfrastruktur. Die Informationen stammen aus dem Darknet und sozialen Netzwerken. Demnach soll ein Zero-Click-Exploit für Microsoft 365 und Exchange Online versteigert werden.

Allerdings: Bisher gibt es keine unabhängige Bestätigung. Weder eine CVE-Nummer noch ein Proof-of-Concept oder Exploit-Code wurden veröffentlicht. Sicherheitsexperten weisen darauf hin, dass SSRF-Schwachstellen zwar bekannt sind, moderne Cloud-Abwehrmechanismen die Ausnutzbarkeit jedoch deutlich erschweren. Microsoft selbst hat sich zu den Vorwürfen bislang nicht geäußert.

Kritische SharePoint-Lücke wird aktiv ausgenutzt

Wesentlich konkreter ist die Warnung der US-amerikanischen Cybersicherheitsbehörde CISA vor einer kritischen Sicherheitslücke in SharePoint. Die Schwachstelle CVE-2026-45659 ermöglicht eine Remote Code Execution (RCE) und wurde mit einem CVSS-Score von 8,8 bewertet. Angreifer können durch die Verarbeitung nicht vertrauenswürdiger Daten eine vollständige Systemübernahme erreichen – und das ohne Administratorrechte.

Anzeige

Angesichts der massiven Angriffswellen auf Cloud-Strukturen und Microsoft-Konten wird ein herkömmlicher Passwortschutz zum Sicherheitsrisiko. Dieser kostenlose Report zeigt, wie Sie mit Passkeys eine unüberwindbare Barriere gegen Phishing und Datenklau errichten. Passkey-Guide für Amazon, Microsoft und Co. jetzt gratis sichern

Microsoft hatte das Sicherheitsleck bereits im Mai 2026 mit einem Patch geschlossen. Doch Angreifer zielen weiterhin auf ungepatchte Systeme ab. Sicherheitsforscher identifizierten mindestens zwei verschiedene Tätergruppen, die parallel im selben Netzwerk operierten.

Die als Storm-2603 bekannte Gruppe setzt dabei die Warlock-Ransomware ein. Sie hatte zuvor bereits eine andere Lücke (CVE-2025-11371) ausgenutzt und dabei einen verwundbaren Treiber für ihre Angriffe genutzt. Ein zweiter, noch nicht identifizierter Angreifer setzte zeitgleich auf DLL-Side-Loading-Techniken.

81 Millionen Anmeldeversuche: Massiver Passwort-Angriff auf Azure

Im zweiten Halbjahr Juni 2026 erschütterte eine gewaltige Password-Spraying-Kampagne die Microsoft-365-Infrastruktur. Das Sicherheitsunternehmen Huntress registrierte rund 81 Millionen Anmeldeversuche zwischen dem 12. und 26. Juni.

Die Angreifer nutzten den Azure CLI Resource Owner Password Credentials (ROPC) Flow. Ihr Ziel: Mit häufig genutzten oder gestohlenen Zugangsdaten Konten zu übernehmen. Mit Erfolg: 78 Konten in 64 verschiedenen Organisationen wurden kompromittiert.

Besonders brisant: In mehreren Fällen umgingen die Angreifer die Multi-Faktor-Authentifizierung (MFA) – Grund waren fehlerhaft konfigurierte Conditional-Access-Richtlinien. Die Angriffe stammten aus einem IPv6-Adressbereich des Anbieters LSHIY LLC. Die höchste Intensität erreichte die Kampagne am 19. und 22. Juni.

Anzeige

Die aktuelle Welle automatisierter Anmeldeversuche verdeutlicht, dass herkömmliche Passwörter die größte Schwachstelle in der Unternehmens-IT bleiben. Erfahren Sie in diesem Experten-Bericht, wie Sie Ihre Konten durch moderne, passwortlose Verfahren effektiv gegen Hacker-Angriffe absichern. Kostenlosen Report zur passwortlosen Anmeldung herunterladen

Phishing-as-a-Service: Automatisierter Token-Diebstahl

Das Cisco-Sicherheitsteam Talos deckte zudem eine neue Phishing-as-a-Service-Plattform (PhaaS) namens ARToken auf. Sie fungiert als Partnerprogramm für das EvilTokens-Toolkit und zielt gezielt auf Microsoft-365-Nutzer ab.

Die Methode: Device-Code-Phishing. Opfer werden dazu gebracht, einen vom Angreifer generierten Code auf einer legitimen Microsoft-Anmeldeseite einzugeben. Das ARToken-System nutzt über 80 offene API-Endpunkte und setzt Cloudflare Workers für seine Multi-Tenant-Architektur ein.

Laut Sicherheitsberichten kann das Toolkit Authentifizierungstoken und Primary Refresh Tokens (PRTs) stehlen. Damit erhalten Angreifer dauerhaften Zugriff auf E-Mail-, SharePoint- und OneDrive-Konten – und umgehen dabei die herkömmliche MFA.

Bereits im März 2026 warnte ESET, dass mit diesen Methoden über 340 Organisationen angegriffen wurden. Der EvilTokens-Dienst wird in Untergrundforen mit einer Einrichtungsgebühr von umgerechnet rund 1.400 Euro und monatlichen Kosten von etwa 470 Euro beworben. Besonders perfide: Die Plattform nutzt KI-gestützte Mailbox-Bewertung, um besonders lukrative Ziele für Business-E-Mail-Compromise-Angriffe (BEC) zu identifizieren.

de | wissenschaft | 69687247 |