Microsoft 365: 81 Millionen Passwort-Angriffe in zwei Wochen
01.07.2026 - 20:39:56 | boerse-global.de
Allein ein Password-Spray-Kampagne umfasst über 81 Millionen Anmeldeversuche.
Die Bedrohungslage für Unternehmen, die Microsofts Cloud-Dienste nutzen, hat sich dramatisch verschärft. Gleich zwei unabhängige Sicherheitsfirmen – Huntress und Cisco Talos – melden neuartige Angriffsmethoden, die selbst etablierte Schutzmechanismen wie die Multi-Faktor-Authentifizierung (MFA) umgehen können.
81 Millionen Passwort-Versuche in zwei Wochen
Die Forscher von Huntress entdeckten eine massive Password-Spray-Attacke auf Microsoft-365-Konten über die Azure Command-Line Interface (CLI). Zwischen dem 12. und 26. Juni 2026 registrierten sie mehr als 81 Millionen Anmeldeversuche. Das Ergebnis: 78 kompromittierte Konten in 64 verschiedenen Organisationen.
Die Angreifer nutzten den sogenannten ROPC-OAuth-Flow (Resource Owner Password Credentials), um Anmeldedaten zu validieren. Diese Methode umgeht MFA, wenn die Conditional-Access-Richtlinien nicht korrekt konfiguriert sind. Laut Huntress ist das Volumen der Credential-Spray-Aktivitäten in den letzten sechs Monaten um das 155-fache gestiegen – im Durchschnitt gab es pro Mandant 1.964 fehlgeschlagene Versuche pro Monat.
Die Angriffe stammen von einem IPv6-Bereich, der von der Firma LSHIY LLC kontrolliert wird – einem Unternehmen mit Registrierungen in New York, Wuhan und Hongkong. Besonders heftig war der 22. Juni: An diesem Tag wurden 30 Konten in 23 Unternehmen kompromittiert. Ein weiterer Peak ereignete sich am 19. Juni mit zwölf gekaperten Accounts. Die Täter griffen dabei auf gestohlene Zugangsdaten aus früheren Datenlecks zurück.
ARToken: Phishing als Dienstleistung
Parallel dazu entdeckten die Experten von Cisco Talos eine neue Phishing-as-a-Service-Plattform namens ARToken. Das System zielt speziell auf Microsoft-365-Konten ab und nutzt die gleiche Infrastruktur wie ein ähnliches Tool namens EvilTokens.
Die Methode ist raffiniert: ARToken setzt auf Device-Code-Phishing. Dabei werden Nutzer dazu gebracht, Codes auf legitimen Microsoft-Anmeldeseiten einzugeben. Der Angreifer erhält so Zugriff – ohne dass ein Passwort nötig wäre.
Das ARToken-Panel verfügte über mehr als 80 API-Endpunkte. Damit konnten die Betreiber:
- Primary Refresh Tokens (PRT) zur dauerhaften Kontrolle nutzen
- E-Mail-Postfächer überwachen
- Auf SharePoint- und OneDrive-Dateien zugreifen
- Business-E-Mail-Compromise-Angriffe (BEC) durchführen
81 Millionen Anmeldeversuche in zwei Wochen – Password-Spray und ARToken-Phishing bedrohen Ihr Microsoft-365-Konto. Erfahren Sie, wie Sie mit einer optimierten MFA-Konfiguration und gezielten Erkennungsmaßnahmen Ihre Umgebung schützen. Jetzt kostenlosen Sicherheits-Report anfordern
Die Plattform bot ihren Kunden geo-spezifische Phishing-Vorlagen und die Möglichkeit, mehrere Postfächer gleichzeitig zu überwachen. Der Einstiegspreis lag bei 1.500 Euro einmalig, plus einer monatlichen Gebühr. Zwar ist das ursprüngliche Panel derzeit offline – die Forscher gehen jedoch davon aus, dass die Betreiber ihre Infrastruktur verlagert haben.
Sicherheitslücken in Unternehmen
Die aktuelle Angriffswelle offenbart eklatante Schwachstellen in der Sicherheitskonfiguration vieler Unternehmen. Huntress identifizierte mehrere MFA-Lücken, die den Password-Spray-Angriff erst ermöglichten:
- MFA war nicht für alle Cloud-Anwendungen aktiviert
- Der Schutz galt nur für Administratoren
- MFA wurde für „vertrauenswürdige" Standorte umgangen
Besonders alarmierend: In acht der betroffenen Unternehmen war überhaupt keine MFA implementiert.
Das FBI hat bereits vor dem Missbrauch der Device-Code-Authentifizierung gewarnt. Die Behörde empfiehlt Unternehmen, diese Funktion einzuschränken und unerwartete Anmeldeanfragen zu überprüfen.
Microsoft reagiert mit neuen Sicherheitsfunktionen
Device-Code-Phishing umgeht MFA – die ARToken-Plattform macht es Angreifern leicht. Unser Report zeigt, wie Sie Primary-Refresh-Token-Diebstahl erkennen und Ihre Conditional-Access-Richtlinien nachschärfen. Sicherheits-Report mit Sofortmaßnahmen sichern
Der Softwarekonzern hat auf die wachsenden Bedrohungen reagiert. Neue administrative Richtlinien für Microsoft Teams blockieren künftig Drittanbieter-Bots, die ohne Zustimmung des Organisators an Besprechungen teilnehmen. Das Update steht für Windows, macOS, Android und iOS bereit.
Ab Dezember können Administratoren zudem externe Teams-Nutzer über das Defender-Portal blockieren – ein weiterer Schritt, um die Unternehmenskommunikation besser abzusichern.
