Azure-Angriff, Millionen

Azure-Angriff: 81 Millionen Login-Versuche auf Microsoft-Konten

01.07.2026 - 18:23:11 | boerse-global.de

Huntress deckt Password-Spray-Angriff auf Azure CLI auf. 78 Konten in 64 Firmen kompromittiert, MFA-Lücken ausgenutzt.

Massive Cyberattacke auf Azure: 81 Mio. Login-Versuche entdeckt
Azure-Angriff - Abstrakte Darstellung eines Cyberangriffs mit leuchtend blauen Linien, die ein Netzwerk und Datenpakete auf dunklem Hintergrund bilden. 01.07.2026 - Bild: über boerse-global.de

Eine massive Cyberkampagne hat Schwachstellen in Microsofts Cloud-Diensten ausgenutzt und dutzende Unternehmenskonten kompromittiert.

Sicherheitsforscher von Huntress haben eine großflächige Password-Spray-Attacke auf die Azure Command Line Interface (CLI) aufgedeckt. Zwischen dem 12. und 26. Juni 2026 registrierten die Experten über 81 Millionen Anmeldeversuche. Die Angreifer erbeuteten dabei Zugangsdaten zu mindestens 78 Konten in 64 verschiedenen Organisationen.

Die Spur führt zu LSHIY LLC

Die Ermittler konnten die Aktivitäten eindeutig dem Unternehmen LSHIY LLC zuordnen, das mit dem autonomen System AS32167 verbunden ist. Konkret identifizierten sie den IPv6-Bereich 2a0a:d683::/32 als Ursprung der Angriffswelle. Versuche, das Unternehmen zu kontaktieren, blieben bislang unbeantwortet.

Schwachstelle im MFA-Schutz

Die Angreifer nutzten den sogenannten Resource Owner Password Credentials (ROPC)-Flow. Diese Methode erlaubt es, bestimmte Konfigurationen der Multi-Faktor-Authentifizierung (MFA) zu umgehen. Das Problem: Viele Unternehmen hatten ihre MFA-Einstellungen nicht konsequent umgesetzt.

Huntress stellte fest, dass zahlreiche Organisationen MFA nicht für sämtliche Cloud-Anwendungen, bestimmte Nutzergruppen oder vertrauenswürdige Standorte durchgesetzt hatten. Besonders alarmierend: Acht der betroffenen Firmen verfügten über gar keinen MFA-Schutz. Die ROPC-Methode nutzte gezielt diese Lücken in den Conditional-Access-Richtlinien aus.

Anzeige

Die 81 Millionen Login-Versuche zeigen: Ihre MFA schützt nur, wenn sie lückenlos konfiguriert ist. Der ROPC-Flow umgeht Conditional Access – genau das haben die Angreifer ausgenutzt. Unser Report liefert die Checkliste für eine wirklich sichere MFA-Implementierung und einen Schritt-für-Schritt Conditional-Access-Audit. Jetzt kostenlosen MFA-Sicherheitsreport anfordern

Explosionsartiger Anstieg der Angriffswelle

Die Attacke erreichte am 22. Juni 2026 ihren Höhepunkt. An diesem einen Tag gelang es den Tätern, 30 Konten in 23 Unternehmen zu kompromittieren. Die Forscher sprechen von einem besorgniserregenden Trend: Die Zahl der Password-Spray-Versuche habe sich in den vergangenen sechs Monaten ver 155-facht.

Parallelbedrohung: ARToken-Phishing

Die Azure-CLI-Kampagne ist nicht die einzige Gefahr für Microsoft-365-Umgebungen. Forscher von Cisco Talos entdeckten zeitgleich eine Phishing-Plattform namens ARToken, die mit dem EvilTokens-System verbunden ist.

Anzeige

Password-Spray-Attacken haben sich in den letzten sechs Monaten ver 155-facht – und die Täter nutzen gezielt MFA-Lücken. Wer nicht alle Cloud-Apps, Nutzergruppen und Standorte absichert, bleibt verwundbar. Dieser Report zeigt Ihnen die 5 Sofortmaßnahmen, die Ihr Unternehmen vor der nächsten Welle schützen. Sofortmaßnahmen gegen Password-Spray jetzt sichern

Diese separate Bedrohung zielt speziell auf Mitarbeiter der Kreditorenbuchhaltung ab. Die Angreifer verschicken rechnungsähnliche E-Mails und nutzen Device-Code-Phishing, um OAuth-Tokens zu stehlen. Obwohl das ARToken-Panel inzwischen offline ist, hatte es zuvor über 80 Endpunkte für Token-Diebstahl und Business-E-Mail-Compromise genutzt.

Die aktuellen Entwicklungen zeigen: Unternehmen, die Microsofts Cloud-Dienste nutzen, durchleben eine Phase erhöhter Risiken. Sicherheitsexperten raten dringend, MFA lückenlos zu implementieren und Conditional-Access-Richtlinien regelmäßig zu überprüfen.

de | wissenschaft | 69668982 |