Angriff auf Microsoft-365-Konten mit 130.000 kompromittierten Geräten

Ein durchaus umfangreiches Botnetz mit über 130.000 gehackten Geräten versucht derzeit, Microsoft-365-Konten zu kompromittieren. Sicherheitsforscher haben aufgedeckt, dass die Angreifer dabei auf gestohlene Zugangsdaten und veraltete Authentifizierungsverfahren setzen, um Multi-Faktor-Authentifizierungen (MFA) zu umgehen.

Wie das IT-Portal Bleeping Computer unter Berufung auf Untersuchungen von Security Scorecard berichtet, nutzen die Täter gestohlene Anmeldedaten, um sogenannte „Password-Spraying-Angriffe“ durchzuführen. Dabei werden bekannte Passwörter systematisch für verschiedene Nutzerkonten ausprobiert – hunderte oder tausende pro Minute. Eine entscheidende Schwachstelle stellt dabei die veraltete sogenannte Basic Authentication dar. Dieser Authentifizierungsmechanismus, der häufig keine MFA erfordert, wird über Dienst-zu-Dienst-Authentifizierungen sowie veraltete Protokolle ausgenutzt. Dadurch bleiben die Angreifer unbemerkt.

Diese Verschlüsselung gilt mittlerweile als überholt, da Zugangsdaten häufig im Klartext oder in einfacher Kodierung übertragen werden. Microsoft plant daher, diese Methode bis spätestens September 2025 vollständig abzuschaffen und durch das sicherere OAuth 2.0 zu ersetzen. Für Privatanwender wurde dieses Basis-Authentifizierung bereits deaktiviert, sodass Anmeldungen nur noch über moderne, sichere Authentifizierungsverfahren möglich sind.

Die Attacken laufen bereits seit Dezember 2024. Die genaue Herkunft des Botnetzes ist allerdings weiter unklar, obwohl Analysen des Datenverkehrs nahelegen, dass die Angriffe aus China gesteuert werden.

Um Microsoft-365-Konten vor diesen Angriffen zu schützen, sollten Administratoren dringend die sog. Basic Authentication deaktivieren und stattdessen MFA durchsetzen. Hinweise auf verdächtige Aktivitäten lassen sich in den Entra-ID-Protokollen finden. Dort können massenhafte fehlgeschlagene Anmeldeversuche als Warnsignal dienen.