Microsoft warnt vor schwerer SSPR-Attacke: Hacker kapern Cloud-Zugänge

Cyberkriminelle nutzen die Self-Service-Passwortzurücksetzung von Microsoft 365, um hochprivilegierte Konten zu übernehmen. Die Angreifer der Gruppe Storm-2949 haben damit bewiesen, dass selbst mehrstufige Authentifizierung kein sicherer Schutz ist.

Die Attacke zielte auf Microsoft-365-Dienste und Azure-Infrastrukturen ab. Statt auf klassische Schadsoftware setzten die Täter auf legitime Verwaltungswerkzeuge – ein alarmierender Trend in der Cybersicherheit. Der Vorfall zeigt: Identitätsbasierte Angriffe auf Cloud-Steuerungsebenen ersetzen zunehmend traditionelle Malware-Infektionen.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen und dabei oft auf Identitätsdiebstahl setzen, zeigt dieses kostenlose E-Book. Erfahren Sie, welche neuen Bedrohungen auf Sie zukommen und wie Sie Ihre Firma ohne großes Budget schützen. Gratis-E-Book: Cyber-Security-Trends 2024 herunterladen

So funktionierte die Storm-2949-Kampagne

Der Angriff begann mit gezieltem Social Engineering gegen Führungskräfte und IT-Personal. Die Täter gaben sich als interner IT-Support aus und baten unter dem Vorwand einer routinemäßigen Kontoverifizierung um die Freigabe einer Multifaktor-Authentifizierung (MFA). Was die Opfer nicht wussten: Sie bestätigten damit die unautorisierte Einleitung des SSPR-Prozesses durch die Angreifer.

Nach erfolgreicher Freigabe setzten die Hacker das Passwort zurück und entfernten sämtliche bestehenden Authentifizierungsmethoden – registrierte Telefonnummern, E-Mail-Adressen und Microsoft-Authenticator-Einträge. Stattdessen hinterlegten sie eigene Geräte und Kontaktdaten. Die legitimen Nutzer waren ausgesperrt, die Angreifer hatten die volle Kontrolle.

Ein entscheidender Faktor für den Erfolg: Die Aktivitäten tarnten sich als normales Administrationsverhalten. Da SSPR ein legitimes Feature zur Entlastung der Helpdesks ist, erschienen die ersten Schritte in den Sicherheitslogs als Standardaktivitäten. So konnten die Angreifer unbemerkt Aufklärung betreiben und sich lateral bewegen.

Vom Identitätsdiebstahl zur Datenflut

Die kompromittierten Konten verfügten oft über privilegierte Azure-RBAC-Berechtigungen (Role-Based Access Control). Das öffnete die Tür zu SaaS-, PaaS- und IaaS-Ebenen. Die Angreifer zielten auf SQL-Server, Storage-Konten und Key Vaults ab.

In einem dokumentierten Fall änderten die Hacker Firewall-Regeln, um auf SQL-Infrastruktur zuzugreifen, und nutzten gestohlene Key-Vault-Anmeldedaten für den Zugriff auf Produktionsdatenbanken. Eigene Skripte automatisierten die Suche nach Nutzern, Rollen und Anwendungen – immer auf der Jagd nach dem schnellsten Weg zu sensiblen Daten.

Die Exfiltration verlief massiv: In SharePoint- und OneDrive-Umgebungen luden die Angreifer tausende Dateien in einem einzigen Vorgang herunter. Auch virtuelle Maschinen waren betroffen. Die Täter missbrauchten Azure-VM-Funktionen wie die VMAccess-Erweiterung und das Run-Command-Tool, um lokale Administratorkonten anzulegen und Skripte auszuführen.

Da allein in Deutschland pro Quartal Millionen Online-Konten gehackt werden, empfehlen Experten den Wechsel auf passwortlose Sicherheit. Dieser kostenlose Report zeigt, wie Sie Passkeys einrichten und so Phishing sowie Datenklau effektiv verhindern. Sicher und passwortlos: Gratis-Leitfaden zu Passkeys sichern

Die Sicherheitslücke im System

Der Missbrauch von SSPR offenbart einen grundlegenden Konflikt zwischen Bequemlichkeit und Sicherheit. Microsoft empfiehlt SSPR eigentlich zur Reduzierung von Ausfallzeiten. Doch Sicherheitsforscher warnen: Ohne strenge Governance schafft die Funktion gefährliche Einfallstore.

Das Problem: Selbst aktivierte MFA kann durch Social Engineering im Passwort-Reset-Flow umgangen werden. Verlangt SSPR nur eine einzige Verifizierungsmethode – etwa eine Telefonnummer oder eine MFA-Freigabe – reicht ein erfolgreicher Social-Engineering-Angriff, um die Sicherheit auf einen einzigen Faktor zu reduzieren.

Erschwerend kommt hinzu: Viele Organisationen haben keine vollständige Transparenz über ihre SSPR-Konfigurationen. Standard-APIs liefern oft keine ausreichenden Einblicke. Ein Angreifer kann allein durch Beobachtung der öffentlichen SSPR-Oberfläche erkennen, ob ein Konto eine oder zwei Hürden für die Passwortzurücksetzung benötigt.

Schutzmaßnahmen und Ausblick

Microsoft und Cybersicherheitsorganisationen empfehlen nun eine Reihe von Maßnahmen:

• Phishing-resistente Authentifizierung: Passkeys und FIDO2-konforme Sicherheitsschlüssel sind deutlich schwerer zu kompromittieren
• Conditional-Access-Richtlinien: SSPR-Nutzung an Risikofaktoren wie Standort, Gerätezustand oder IP-Reputation knüpfen
• Frühwarnsysteme: Überwachung auf „Aufklärungsverhalten" – wenn mehrere SSPR-Vorgänge gestartet, aber nicht abgeschlossen werden

Die Botschaft ist klar: Identität ist die neue Sicherheitsgrenze. Unternehmen müssen SSPR-Protokolle rigoros prüfen, veraltete Authentifizierungsmethoden entfernen und jede Komponente des Identitätsmanagements als potenzielles Einfallstor betrachten. Der Storm-2949-Vorfall zeigt: Was die Arbeit erleichtern soll, kann in den falschen Händen zur tölichen Waffe werden.

de | wissenschaft | 69377347 |