Microsoft, Millionen

Microsoft 365: 81 Millionen Angriffe auf Azure-Konten in Juni

02.07.2026 - 22:56:45 | boerse-global.de

Eine koordinierte Password-Spraying-Kampagne zielt auf Microsoft-365-Konten. Trotz MFA-Schutz wurden 78 Accounts in 64 Organisationen kompromittiert.

Massiver Passwort-Angriff auf Azure: 81 Millionen Versuche in zwei Wochen
Microsoft - Eine dunkle Silhouette tippt auf einer leuchtenden Tastatur, im Hintergrund verschwommene digitale Daten und Codezeilen, die Cyber-Angriffe symbolisieren. 02.07.2026 - Bild: über boerse-global.de

Im Fokus stehen Microsoft-365-Umgebungen – und die Angreifer werden immer raffinierter.

81 Millionen Anmeldeversuche: Die Methode hinter dem Angriff

Zwischen dem 12. und 26. Juni 2026 registrierte das Sicherheitsunternehmen Huntress eine massive Password-Spraying-Kampagne. Die Angreifer zielten gezielt auf die Azure Command Line Interface (CLI) und nutzten den ROPC-Flow (Resource Owner Password Credentials) – eine Technik, die Sicherheitsabfragen umgeht.

Der Höhepunkt der Aktivität lag am 22. Juni. Trotz der enormen Zahl von 81 Millionen Versuchen gelang es den Angreifern nur, 78 Konten in 64 Organisationen zu kompromittieren. Das klingt nach wenig – zeigt aber die Präzision der Attacke.

MFA-Lücken: Wenn der Schutz nicht greift

Bei 15 der betroffenen Organisationen war die Multifaktor-Authentifizierung (MFA) zwar eingerichtet – aber nicht konsequent durchgesetzt. Fehlkonfigurationen ließen Lücken für bestimmte Anwendungen oder Nutzergruppen. In acht Fällen fehlte der Schutz komplett.

Die genutzten IP-Adressen stammen vom Anbieter LSHIY LLC und sind geografisch in den USA und China verortet.

EvilTokens: Die neue Generation von Phishing-Kits

Parallel zu den Brute-Force-Angriffen verfeinern Kriminelle ihre Phishing-Strategien. Cisco Talos dokumentierte die Weiterentwicklung des „EvilTokens“-Kits zu einer umfassenden Plattform für Business Email Compromise (BEC).

Über das Panel „ARToken“ verwalten Angreifer gestohlene Sitzungs-Token, sichern sich dauerhaften Zugriff auf Outlook-Postfächer und erstellen automatisierte Regeln für den Posteingang.

Anzeige

81 Millionen Anmeldeversuche auf Azure-Konten in nur zwei Wochen – und bei 15 Organisationen war MFA nicht konsequent durchgesetzt. Der kostenlose Sicherheits-Leitfaden zeigt, wie Sie MFA-Lücken schließen und den Device-Code-Flow einschränken. Kostenlosen Sicherheits-Leitfaden anfordern

Gefälschte Rechnungen als Einfallstor

Ein Vorfall vom 20. April 2026 zeigt die perfide Methode: Ein US-Unternehmen aus dem Life-Sciences-Sektor erhielt eine gefälschte Rechnung – angeblich von einem realen Geschäftspartner. Die Angreifer nutzten den Device-Code-Flow aus.

Die Opfer gaben einen Code auf einer legitimen Microsoft-Seite ein. Dadurch erhielten die Angreifer ein gültiges OAuth-Token – ohne Passwort und trotz aktiver MFA. Microsoft meldet seit Mitte März 2026 täglich 10 bis 15 solcher Kampagnen. Auch das FBI warnte vor der Plattform „Kali365“, die über Telegram verbreitet wird.

KI-gestützte Angriffe: Die nächste Eskalationsstufe

Die Bedrohungslandschaft entwickelt sich rasant. Neue KI-Modelle wie Claude Mythos oder GPT-5.5-Cyber sollen eigenständig komplexe Angriffsketten planen können. Das Zeitfenster zwischen der Entdeckung einer Schwachstelle und ihrer Ausnutzung schrumpft dramatisch.

Sicherheitsforscher von LayerX identifizierten zudem eine neue Angriffsmethode namens „BioShocking“. Dabei werden KI-Assistenten in Browsern wie ChatGPT Atlas oder Perplexity Comet durch präparierte Webinhalte manipuliert. Die Folge: Sie geben sensible Zugangsdaten der Nutzer preis. OpenAI hat bereits reagiert – Systeme anderer Anbieter gelten weiterhin als anfällig.

Kritische Sicherheitslücken: Microsoft patcht

Anzeige

Angreifer umgehen MFA mit dem Device-Code-Flow – das FBI warnt. Mit der Checkliste im kostenlosen Leitfaden prüfen Sie in 10 Minuten, ob Ihre Azure-Umgebung gegen Password-Spraying und Token-Diebstahl geschützt ist. Checkliste per E-Mail sichern

Flankierend zu den Identitätsangriffen wurden mehrere kritische Schwachstellen in Microsoft-Produkten bekannt. Die Lücke „BlueHammer“ (CVE-2026-33825) im Microsoft Defender wird bereits von Ransomware-Gruppen aktiv ausgenutzt. Weitere Lücken betreffen SharePoint (CVE-2026-45659) und Exchange-Server.

Am 2. Juli 2026 veröffentlichte Microsoft ein Notfall-Update für Office-Anwendungen (CVE-2026-21509). Sicherheitsexperten raten dringend, Patches sofort einzuspielen und die Konfiguration der Authentifizierungsdienste zu überprüfen. Besonders die Einschränkung des Device-Code-Flows und die konsequente Durchsetzung von MFA für alle administrativen Schnittstellen stehen ganz oben auf der Prioritätenliste.

de | wissenschaft | 69676936 |