OAuth-Spoofing, Hacker

OAuth-Spoofing: Hacker prĂŒfen Millionen Passwörter unbemerkt

Veröffentlicht: 14.07.2026 um 19:26 Uhr, Redaktion boerse-global.de

Angreifer nutzen gefÀlschte OAuth-Apps in Microsoft Entra ID, um Millionen Zugangsdaten zu validieren, ohne Sicherheitswarnungen auszulösen.

OAuth-Spoofing: Neue Methode prĂŒft gestohlene Passwörter unsichtbar
Abstrakte Darstellung von Cybersicherheit mit leuchtenden Datenströmen, die auf ein digitales Schloss zulaufen, als Symbol fĂŒr Datenschutz und Bedrohungen. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Sicherheitsforscher haben eine raffinierte Technik entdeckt, die Angreifern erlaubt, gestohlene Zugangsdaten zu ĂŒberprĂŒfen – ohne die ĂŒblichen Alarmglocken schrillen zu lassen.

Die als „OAuth-Client-ID-Spoofing" bekannte Methode nutzt eine Schwachstelle in Microsofts Authentifizierungssystem Entra ID (ehemals Azure Active Directory). Proofpoint-Experten enthĂŒllten, dass Kriminelle fingierte OAuth-Anwendungen einsetzen, um gĂŒltige Benutzernamen und Passwörter zu identifizieren. Der entscheidende Trick: Die Anmeldung wird nie vollstĂ€ndig abgeschlossen, wodurch herkömmliche Sicherheitsmonitore nichts bemerken.

So funktioniert die unsichtbare PrĂŒfung

Die Angreifer verwenden den sogenannten ROPC-Flow (Resource Owner Password Credentials), um mit Microsofts OAuth-2.0-Schnittstelle zu kommunizieren. Sie schicken Authentifizierungsanfragen mit gefĂ€lschten Client-IDs und werten die Fehlercodes aus, die das System zurĂŒckgibt. Drei Codes sind dabei besonders aufschlussreich:

  • AADSTS50034: Der Benutzername existiert nicht
  • AADSTS50126: Der Benutzername ist gĂŒltig, das Passwort falsch
  • AADSTS700016: Die Zugangsdaten sind korrekt – nur die gefĂ€lschte App-ID ist nicht registriert

Besonders tĂŒckisch: In den Anmeldeprotokollen von Entra ID erscheint bei diesen Versuchen oft ein leerer Anwendungsname. Automatische Warnsysteme, die auf verdĂ€chtige AktivitĂ€ten bekannter Apps achten, erkennen die Angriffe daher nicht.

Millionen Konten im Visier

Proofpoint dokumentierte zwei groß angelegte Kampagnen. Die erste, UNK_pyreq2323 genannt, lief von Januar bis MĂ€rz 2026. Die TĂ€ter setzten ĂŒber 700.000 gefĂ€lschte Client-IDs ein und griffen mehr als eine Million Konten in rund 4.000 verschiedenen Mandanten an. Die Folge: 28 Prozent der betroffenen Accounts wurden gesperrt. Die Angreifer nutzten dabei Infrastruktur von Amazon Web Services.

Eine zweite Welle mit dem Namen UNK_OutFlareAZ wurde bereits im Dezember 2025 beobachtet. Sie war noch grĂ¶ĂŸer: 3,7 Millionen gefĂ€lschte Client-IDs gegen ĂŒber zwei Millionen Nutzer. Hier kam Cloudflare als Infrastruktur zum Einsatz. Jede Anfrage erhielt eine zufĂ€llige UUIDv4, um die Erkennung zusĂ€tzlich zu erschweren.

Anzeige

Wer seine Cloud-Überwachung auf blinde Flecken prĂŒfen will, findet in diesem Report die wichtigsten Erkennungsmethoden – von Log-Analyse bis ROPC-Deaktivierung. Jetzt kostenlosen Security-Report anfordern

Die unterschiedlichen Methoden deuten darauf hin, dass mehrere unabhÀngige Gruppen diese Technik inzwischen nutzen.

OAuth-Missbrauch betrifft auch andere Plattformen

WÀhrend Proofpoint sich auf Microsoft konzentrierte, entdeckten auch die hauseigenen Sicherheitsexperten von Microsoft Àhnliche Angriffsmuster. Die Gruppe ShinyHunters soll von Mitte 2025 bis Mitte 2026 Salesforce-Umgebungen attackiert haben. Dabei kombinierten die Angreifer Vishing (Telefonbetrug zur Einholung von OAuth-Zustimmungen) mit Kompromittierungen von Drittanbieter-Tools wie Salesloft, Gainsight und Klue, um CRM-Daten zu stehlen.

Microsoft hat als Reaktion die Sicherheitsupdates fĂŒr Defender for Cloud Apps erweitert – mit verbesserter Telemetrie und Verbindungszuordnung fĂŒr Salesforce.

So schĂŒtzen sich Unternehmen

Sicherheitsexperten raten zu folgenden Maßnahmen:

Anzeige

Bereits ĂŒber eine Million Konten in 4.000 Mandanten wurden durch OAuth-Spoofing angegriffen. PrĂŒfen Sie, ob Ihre Logs leere Anwendungsnamen oder den Fehlercode AADSTS700016 enthalten – und sichern Sie sich die Schritt-fĂŒr-Schritt-Anleitung zur Abwehr. OAuth-Spoofing-Checkliste jetzt sichern

  • Protokolle prĂŒfen: Nach Anmeldungen ohne oder mit leerem Anwendungsnamen suchen
  • Fehlercode ĂŒberwachen: Besonders der Code AADSTS700016 gilt als Warnsignal fĂŒr kompromittierte Zugangsdaten
  • ROPC-Flow deaktivieren: Wo nicht zwingend nötig, sollte dieser Authentifizierungsweg abgeschaltet werden

Die Technik ermöglicht es Angreifern, Zugangsdaten nahezu unsichtbar zu validieren. Das Erkennen dieser „blinden Flecken" in der Cloud-Überwachung ist entscheidend, um spĂ€tere Account-Übernahmen zu verhindern.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wissenschaft | 69768229 |