Azure-Attacke, Millionen

Azure-Attacke: 81 Millionen Login-Versuche auf Microsoft-Konten

02.07.2026 - 16:31:49 | boerse-global.de

Eine großangelegte Passwort-Spray-Kampagne gegen Azure-CLI-Nutzer erbeutete 78 Konten. Sicherheitslücken bei der MFA-Konfiguration begünstigten den Angriff.

Microsoft Azure: 81 Mio. Login-Versuche in massiver Passwort-Spray-Attacke
Azure-Attacke - Digitale Illustration von sicherem Datenfluss und Netzwerkschwachstellen mit leuchtend blauen Linien und abstrakten Schnittstellen. 02.07.2026 - Bild: über boerse-global.de

Zwischen dem 12. und 26. Juni 2024 registrierten Sicherheitsforscher mehr als 81 Millionen Anmeldeversuche auf die Azure-Befehlszeilenschnittstelle (CLI). Die Angreifer erbeuteten 78 Microsoft-Konten in 64 verschiedenen Organisationen.

Wie die Angreifer die Zwei-Faktor-Authentifizierung umgingen

Die Sicherheitsfirma Huntress entdeckte die Kampagne. Die Hacker nutzten den sogenannten ROPC-Fluss (Resource Owner Password Credentials) aus. Diese OAuth-Methode erlaubt einer Anwendung, sich direkt mit Benutzername und Passwort anzumelden – und umgeht unter bestimmten Konfigurationen die Multi-Faktor-Authentifizierung (MFA).

Der Höhepunkt der Attacke war der 22. Juni 2024. An diesem Tag knackten die Angreifer 30 Konten in 23 verschiedenen Unternehmen. Die Forscher führen den Großteil des schädlichen Datenverkehrs auf die Firma LSHIY LLC zurück, erkennbar an der autonomen Systemnummer AS32167 und dem IPv6-Adressbereich 2a0a:d683::/32.

Sicherheitslücken: MFA oft falsch konfiguriert

Die Kampagne legte schonungslos offen, wie schlecht viele Unternehmen ihren Identitätsschutz einrichten. Zwar hatten die meisten betroffenen Firmen MFA-Protokolle implementiert – doch die Verteidigung war häufig fehlerhaft konfiguriert.

Zu den typischen Schwachstellen gehörten MFA-Einstellungen, die nur für bestimmte Anwendungen oder Benutzergruppen galten, nicht aber für die gesamte Umgebung. Andere Organisationen nutzten einen „Report-Only"-Modus oder vertrauenswürdige Standort-Ausnahmen, die den Angreifern Tür und Tor öffneten. Von 23 betroffenen Unternehmen hatten acht überhaupt keine MFA eingerichtet.

Anzeige

81 Millionen Anmeldeversuche auf die Azure-CLI – Angreifer erbeuteten 78 Konten, indem sie den ROPC-Fluss ausnutzten. Mit unserer Schritt-für-Schritt-Checkliste schließen Sie die MFA-Lücke in Ihrer Cloud-Umgebung. Kostenlose MFA-Checkliste anfordern

Explosionsartiger Anstieg automatisierter Angriffe

Die Azure-CLI-Kampagne ist Teil eines besorgniserregenden Trends. Laut Marktdaten hat sich die Zahl der Credential-Spray-Angriffe in den letzten sechs Monaten ver 155-facht. Die automatisierten Attacken zielen gezielt auf Cloud-Verwaltungstools ab, um sich hohe Zugriffsrechte in Unternehmensnetzwerken zu verschaffen.

Neben Passwort-Spraying entdeckten Sicherheitszentren im Laufe des Jahres mehrere hartnäckige Angriffspfade in Azure-Infrastrukturen: im Internet freigegebene virtuelle Maschinen, kritische ungepatchte Sicherheitslücken und übermäßige Benutzerberechtigungen, die Angreifern die seitliche Bewegung durch Cloud-Assets ermöglichen.

So schützen Unternehmen ihre Cloud-Umgebungen

Sicherheitsexperten empfehlen eine lückenlose MFA für alle Benutzer, Anwendungen und Client-Typen – ohne Ausnahmen. Für Azure-Administratoren ergeben sich daraus konkrete Maßnahmen:

Anzeige

Ihre MFA ist nur so stark wie ihre Konfiguration. Die Checkliste zeigt Ihnen, wie Sie den ROPC-Fluss deaktivieren, „Report-Only“-MFA abschalten und den Zugriff auf die Azure-CLI beschränken. Checkliste für Azure-Administratoren sichern

  • ROPC-Fluss deaktivieren: Die veraltete OAuth-Methode blockieren, damit Angreifer moderne Authentifizierungsabfragen nicht umgehen können.
  • Zugriff auf Azure CLI beschränken: Nur Mitarbeiter erhalten Zugriff, die die Befehlszeilenschnittstelle für ihre Aufgaben tatsächlich benötigen.
  • „Report-Only"-MFA abschalten: Keine Ausnahmen für „vertrauenswürdige" Standorte gewähren, die sich leicht fälschen lassen.
  • Prinzip der geringsten Privilegien: Berechtigungen so knapp wie möglich halten, um den Schaden nach einem erfolgreichen Angriff zu begrenzen.

Analysten empfehlen zudem den Einsatz integrierter Sicherheitsplattformen wie Microsoft Defender for Cloud, um Identitätsrisiken zu überwachen und öffentlichen Zugriff auf sensible Cloud-Ressourcen zu unterbinden.

de | wissenschaft | 69673995 |