OAuth-Spoofing: Hacker prĂŒfen Millionen Passwörter unbemerkt
Veröffentlicht: 14.07.2026 um 19:26 Uhr, Redaktion boerse-global.de
Sicherheitsforscher haben eine raffinierte Technik entdeckt, die Angreifern erlaubt, gestohlene Zugangsdaten zu ĂŒberprĂŒfen â ohne die ĂŒblichen Alarmglocken schrillen zu lassen.
Die als âOAuth-Client-ID-Spoofing" bekannte Methode nutzt eine Schwachstelle in Microsofts Authentifizierungssystem Entra ID (ehemals Azure Active Directory). Proofpoint-Experten enthĂŒllten, dass Kriminelle fingierte OAuth-Anwendungen einsetzen, um gĂŒltige Benutzernamen und Passwörter zu identifizieren. Der entscheidende Trick: Die Anmeldung wird nie vollstĂ€ndig abgeschlossen, wodurch herkömmliche Sicherheitsmonitore nichts bemerken.
So funktioniert die unsichtbare PrĂŒfung
Die Angreifer verwenden den sogenannten ROPC-Flow (Resource Owner Password Credentials), um mit Microsofts OAuth-2.0-Schnittstelle zu kommunizieren. Sie schicken Authentifizierungsanfragen mit gefĂ€lschten Client-IDs und werten die Fehlercodes aus, die das System zurĂŒckgibt. Drei Codes sind dabei besonders aufschlussreich:
- AADSTS50034: Der Benutzername existiert nicht
- AADSTS50126: Der Benutzername ist gĂŒltig, das Passwort falsch
- AADSTS700016: Die Zugangsdaten sind korrekt â nur die gefĂ€lschte App-ID ist nicht registriert
Besonders tĂŒckisch: In den Anmeldeprotokollen von Entra ID erscheint bei diesen Versuchen oft ein leerer Anwendungsname. Automatische Warnsysteme, die auf verdĂ€chtige AktivitĂ€ten bekannter Apps achten, erkennen die Angriffe daher nicht.
Millionen Konten im Visier
Proofpoint dokumentierte zwei groĂ angelegte Kampagnen. Die erste, UNK_pyreq2323 genannt, lief von Januar bis MĂ€rz 2026. Die TĂ€ter setzten ĂŒber 700.000 gefĂ€lschte Client-IDs ein und griffen mehr als eine Million Konten in rund 4.000 verschiedenen Mandanten an. Die Folge: 28 Prozent der betroffenen Accounts wurden gesperrt. Die Angreifer nutzten dabei Infrastruktur von Amazon Web Services.
Eine zweite Welle mit dem Namen UNK_OutFlareAZ wurde bereits im Dezember 2025 beobachtet. Sie war noch gröĂer: 3,7 Millionen gefĂ€lschte Client-IDs gegen ĂŒber zwei Millionen Nutzer. Hier kam Cloudflare als Infrastruktur zum Einsatz. Jede Anfrage erhielt eine zufĂ€llige UUIDv4, um die Erkennung zusĂ€tzlich zu erschweren.
Wer seine Cloud-Ăberwachung auf blinde Flecken prĂŒfen will, findet in diesem Report die wichtigsten Erkennungsmethoden â von Log-Analyse bis ROPC-Deaktivierung. Jetzt kostenlosen Security-Report anfordern
Die unterschiedlichen Methoden deuten darauf hin, dass mehrere unabhÀngige Gruppen diese Technik inzwischen nutzen.
OAuth-Missbrauch betrifft auch andere Plattformen
WÀhrend Proofpoint sich auf Microsoft konzentrierte, entdeckten auch die hauseigenen Sicherheitsexperten von Microsoft Àhnliche Angriffsmuster. Die Gruppe ShinyHunters soll von Mitte 2025 bis Mitte 2026 Salesforce-Umgebungen attackiert haben. Dabei kombinierten die Angreifer Vishing (Telefonbetrug zur Einholung von OAuth-Zustimmungen) mit Kompromittierungen von Drittanbieter-Tools wie Salesloft, Gainsight und Klue, um CRM-Daten zu stehlen.
Microsoft hat als Reaktion die Sicherheitsupdates fĂŒr Defender for Cloud Apps erweitert â mit verbesserter Telemetrie und Verbindungszuordnung fĂŒr Salesforce.
So schĂŒtzen sich Unternehmen
Sicherheitsexperten raten zu folgenden MaĂnahmen:
Bereits ĂŒber eine Million Konten in 4.000 Mandanten wurden durch OAuth-Spoofing angegriffen. PrĂŒfen Sie, ob Ihre Logs leere Anwendungsnamen oder den Fehlercode AADSTS700016 enthalten â und sichern Sie sich die Schritt-fĂŒr-Schritt-Anleitung zur Abwehr. OAuth-Spoofing-Checkliste jetzt sichern
- Protokolle prĂŒfen: Nach Anmeldungen ohne oder mit leerem Anwendungsnamen suchen
- Fehlercode ĂŒberwachen: Besonders der Code AADSTS700016 gilt als Warnsignal fĂŒr kompromittierte Zugangsdaten
- ROPC-Flow deaktivieren: Wo nicht zwingend nötig, sollte dieser Authentifizierungsweg abgeschaltet werden
Die Technik ermöglicht es Angreifern, Zugangsdaten nahezu unsichtbar zu validieren. Das Erkennen dieser âblinden Flecken" in der Cloud-Ăberwachung ist entscheidend, um spĂ€tere Account-Ăbernahmen zu verhindern.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Ănderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.
