Microsoft-Angriff, Millionen

Microsoft-Angriff: 81 Millionen Passwort-Versuche kompromittieren 78 Konten

Veröffentlicht: 03.07.2026 um 03:05 Uhr, Redaktion boerse-global.de

Hacker knackten 78 Microsoft-365-Konten trotz aktivierter MFA. Eine neue Token-Diebstahl-Methode umgeht zudem herkömmliche Schutzmaßnahmen.

Microsoft Azure: 81 Mio. Passwortversuche legen Sicherheitslücken offen
Abstrakte Darstellung digitaler Sicherheitsbedrohungen mit glühenden roten Linien um einen Serverrack, die Datenlecks und Schwachstellen symbolisieren. Illustration mit AI erstellt übermittelt durch boerse-global.de

Hacker haben in den vergangenen Wochen über 81 Millionen Passwort-Versuche gestartet und dabei Dutzende Unternehmen kompromittiert. Die US-Sicherheitsbehörde CISA stufte am Donnerstag zudem eine kritische SharePoint-Sicherheitslücke als aktiv ausgenutzt ein.

Massiver Passwort-Angriff auf Azure-CLI

Zwischen dem 12. und 26. Juni 2026 verzeichnete die Sicherheitsfirma Huntress eine großangelegte Password-Spray-Kampagne. Die Angreifer nutzten das Netzwerk von LSHIY LLC (AS32167) und zielten auf Microsoft-365-Konten über die Azure Command-Line Interface (CLI) ab. Insgesamt generierten sie mehr als 81 Millionen Anmeldeversuche.

Das Ergebnis: 78 Konten in 64 verschiedenen Organisationen wurden geknackt. Die Täter setzten dabei den ROPC-OAuth-Flow (Resource Owner Password Credentials) ein. Dieses Protokoll erlaubt einer Anwendung, Nutzer direkt über Benutzername und Passwort anzumelden – und umgeht damit oft die üblichen Sicherheitsmechanismen. Laut Huntress hat sich die Zahl der Credential-Spray-Angriffe in den ersten sechs Monaten dieses Jahres verfünfundfünfzigfacht.

Schwachstellen bei Multi-Faktor-Authentifizierung

Am 22. Juni erreichte die Kampagne ihren Höhepunkt: An einem einzigen Tag wurden 30 Konten in 23 Unternehmen kompromittiert. Besonders alarmierend: In 15 dieser Firmen war die Multi-Faktor-Authentifizierung (MFA) aktiviert – dennoch gelangen die Angreifer ins System.

Der Grund: Die Conditional-Access-Richtlinien waren oft zu eng gefasst. Sie galten nur für bestimmte Anwendungen, Nutzergruppen oder geografische Regionen – nicht aber für den ROPC-Flow der Azure-CLI. Acht der betroffenen Organisationen hatten gar keine MFA implementiert. Sicherheitsexperten empfehlen, ROPC komplett zu deaktivieren und MFA für alle Nutzer und Anwendungen verpflichtend zu machen.

Anzeige

Die jüngste Angriffswelle auf Azure-CLI hat 78 Konten in 64 Organisationen kompromittiert – trotz aktivierter MFA. Erfahren Sie in unserem kostenlosen Report, wie Sie ROPC deaktivieren, SharePoint-Lücken schließen und Token-Diebstahl verhindern. Jetzt kostenlosen Sicherheits-Report anfordern

CISA warnt vor SharePoint-Angriffen

Die US-Behörde CISA hat die Schwachstelle CVE-2026-45659 offiziell als aktiv ausgenutzt eingestuft. Es handelt sich um eine Remote-Code-Execution-Lücke (RCE) in SharePoint Server Subscription Edition sowie den Versionen 2019 und 2016.

Der CVSS-Score von 8,8 zeigt die hohe Gefährlichkeit. Zwar benötigen Angreifer Site-Member-Berechtigungen, doch Microsoft selbst hatte die Ausnutzungswahrscheinlichkeit ursprünglich als „weniger wahrscheinlich" eingestuft. Die Realität sieht anders aus: Die Lücke wird bereits aktiv ausgenutzt. Unternehmen sollten betroffene SharePoint-Umgebungen umgehend patchen.

Neue Angriffsmethode umgeht Passwort und MFA

Anzeige

ConsentFix-Token-Diebstahl umgeht Passwort und MFA – eine neue Bedrohung, die auf LinkedIn-Profile abzielt. Unser Report zeigt, wie Sie diese Angriffsmethode erkennen und Ihre OAuth-Tokens schützen. Token-Diebstahl-Schutz jetzt sichern

Noch perfider: Forscher haben eine Methode entdeckt, die Passwörter und MFA komplett umgeht. Die als ConsentFix bekannte Technik – eine Variante des ClickFix-Angriffs – wurde im März 2026 in einem russischen Cybercrime-Forum detailliert beschrieben.

Die Masche: Opfer werden dazu gebracht, einen Localhost-Callback-Link in den Browser zu ziehen. Damit übergeben sie unwissentlich ihre OAuth-Tokens an die Angreifer. Die Täter nutzen oft professionelle Profile auf Plattformen wie LinkedIn, um hochwertige Ziele zu identifizieren. Kostenlose Webdienste dienen als Hosting für die schadhafte Infrastruktur. Da der Angriff auf Token-Diebstahl setzt, helfen klassische MFA-Maßnahmen nicht mehr – der Schaden ist bereits angerichtet, sobald der Token kompromittiert ist.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69677838 |