Microsoft 365: 81 Millionen Anmeldeversuche in Password-Spraying-Attacke
Veröffentlicht: 03.07.2026 um 23:29 Uhr, Redaktion boerse-global.de
Sicherheitsforscher und Behörden schlagen Alarm: Hacker haben gelernt, die Schutzmechanismen der Zwei-Faktor-Authentifizierung (MFA) zu umgehen. Im Visier stehen vor allem Cloud-Umgebungen von Unternehmen.
Massiver Passwort-Angriff auf Microsoft 365
Besonders brisant: Eine groß angelegte Password-Spraying-Kampagne hat im Juni 2026 Microsoft-365-Konten ins Visier genommen. Allein zwischen dem 12. und 26. Juni registrierten Sicherheitsexperten rund 81 Millionen Anmeldeversuche. Die Angreifer nutzten dabei den sogenannten ROPC-OAuth-Fluss über die Azure-Befehlszeilenschnittstelle.
Die Folgen sind alarmierend: 78 Konten in 64 verschiedenen Organisationen wurden kompromittiert. Die Angriffswelle erreichte ihre Höhepunkte am 19. und 22. Juni – mit einer 155-fachen Steigerung der Angriffsfrequenz im Vergleich zum Normalbetrieb.
Das Sicherheitsunternehmen Huntress identifizierte die Angriffe aus einem IPv6-Adressbereich, der mit dem Unternehmen LSHIY LLC in Verbindung steht. Die Taktik der Hacker: Sie nutzen eine Schwachstelle im OAuth-Protokoll, die es ihnen erlaubt, MFA-Kontrollen zu umgehen, die nicht für sämtliche Cloud-Anwendungen strikt durchgesetzt werden.
Neue Malware kapert Gmail-Konten
Doch die Bedrohungslage ist vielfältiger. Die Schadsoftware Umbrij, die der Hackergruppe ToddyCat zugeschrieben wird, geht einen anderen Weg: Sie stiehlt Authentifizierungstoken direkt aus dem Browser. Kaspersky-Forscher entdeckten, dass die Malware bestehende Sitzungen in Chrome und Edge kapert – und zwar über die Remote-Debugging-Funktion der Browser.
Das Heimtückische daran: Die Angreifer benötigen weder das Passwort noch eine neue MFA-Abfrage. Einmal im System, greifen sie über die Google-API auf Unternehmens-Gmail-Konten zu.
Phishing als Dienstleistung – ein boomendes Geschäft
Die 81 Millionen Anmeldeversuche zeigen: MFA allein schützt nicht mehr. Dieser Report liefert die entscheidenden Hebel – von der OAuth-Berechtigungsprüfung bis zur Conditional-Access-Richtlinie. Jetzt kostenlosen Report anfordern
Parallel dazu beobachten Ermittler den Aufstieg von Phishing-as-a-Service-Plattformen. Das FBI warnte kürzlich vor der Plattform Kali365, die den OAuth-2.0-Geräteautorisierungs-Fluss missbraucht. Ein weiterer Dienst namens ARToken, den Cisco Talos identifizierte, nutzt ähnliche Techniken gegen Microsoft-365-Nutzer.
Diese Plattformen machen es möglich: Selbst wenig versierte Kriminelle können automatisierte Business-E-Mail-Compromise-Angriffe starten und Daten aus Outlook, SharePoint und OneDrive abziehen.
CISA warnt vor Sicherheitslücke in Fernwartungssoftware
Die US-Behörde für Cybersicherheit (CISA) hat am 29. Juni eine weitere Schwachstelle in ihren Katalog bekannter Sicherheitslücken aufgenommen. Der Fehler CVE-2026-48558 betrifft die Fernwartungssoftware SimpleHelp in den Versionen 5.5.15 und älter. Über die OIDC-Implementierung können Angreifer die Authentifizierung umgehen und sich Techniker-Zugriff verschaffen.
Die Folge: Credential-Diebstahl und die Einschleusung von Schadsoftware wie dem Djinn-Stealer. Vor der Verteilung von Sicherheitsupdates galten rund 1.000 Server als verwundbar.
Die neue Realität: Token-Sicherheit wird zur Chef-Sache
Token-Diebstahl via Umbrij und ARToken ist auf dem Vormarsch. Wer seine Cloud-Umgebung schützen will, muss API-Angriffe erkennen und OAuth-Flows strikt begrenzen. Der Report zeigt die 5 wichtigsten Indikatoren und eine Schritt-für-Schritt-Konfiguration. Token-Sicherheits-Report jetzt sichern
Die Erfolgsquote dieser Angriffe ist erschreckend. Manche Varianten, wie die als ConsentFix bekannte Methode, können Konten angeblich in Sekundenbruchteilen kapern. Die traditionelle Zwei-Faktor-Authentifizierung stößt an ihre Grenzen – denn die Angreifer nutzen keine Softwarefehler aus, sondern missbrauchen legitime Protokolle.
Sicherheitsexperten empfehlen Unternehmen daher einen Strategiewechsel: OAuth-App-Berechtigungen strikt begrenzen, ungewöhnliche API-Aufrufe überwachen und die Nutzung der Gerätecode-Authentifizierung genau prüfen. Entscheidend sind zudem Conditional-Access-Richtlinien, die verdächtige tokenbasierte Sitzungen erkennen und blockieren können.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
