Microsoft Entra ID: Sicherheitslücken durch Passwort-Spraying

LONDON (IT BOLTWISE) – In einer besorgniserregenden Entwicklung für die Cybersicherheit wurden weltweit über 80.000 Microsoft Entra ID-Konten von einem ausgeklügelten Passwort-Spraying-Angriff betroffen.

Die jüngsten Angriffe auf Microsoft Entra ID-Konten verdeutlichen die anhaltenden Schwachstellen in cloudbasierten Identitätsmanagementsystemen. Diese Angriffe, die seit Dezember 2024 andauern, nutzen ein Open-Source-Penetrationstool namens TeamFiltration, um Account-Übernahmen durchzuführen. Mehrere Konten wurden bereits kompromittiert, was die Dringlichkeit für stärkere Sicherheitsmaßnahmen unterstreicht.

Der Angriff, der von einigen Sicherheitsexperten als UNK_SneakyStrike bezeichnet wird, zeigt, dass Angreifer nicht auf maßgeschneiderte Malware oder hochkomplexe Exploits angewiesen sind. Stattdessen nutzen sie allgemein verfügbare Tools, um systematisch gängige Passwörter über eine Vielzahl von Konten zu testen. Diese Methode, bekannt als Passwort-Spraying, vermeidet Account-Sperrungen durch einen langsamen und unauffälligen Ansatz, was sie besonders heimtückisch und schwer zu erkennen macht.

Besonders besorgniserregend ist die Umfunktionierung von TeamFiltration, einem ursprünglich für legitime Penetrationstests entwickelten Frameworks. Hacker haben dieses Tool automatisiert, um Passwort-Spraying-Angriffe auf Microsoft Entra ID-Konten durchzuführen, die als Rückgrat für Identitäts- und Zugriffsmanagement in unzähligen Unternehmensumgebungen dienen. Die leichte Zugänglichkeit solcher Tools auf Open-Source-Plattformen wirft kritische Fragen über das Gleichgewicht zwischen Sicherheitstests und dem Potenzial für Missbrauch auf.

Die Auswirkungen dieser Angriffe sind nicht nur zahlenmäßig, sondern stellen ein erhebliches Risiko für die Sicherheit von Organisationen dar. Kompromittierte Konten können Angreifern einen Einstieg in Cloud-Tenants bieten, was zu Datenverletzungen, seitlichen Bewegungen innerhalb von Netzwerken oder sogar vollständigen Übernahmen von Tenants führen kann. Für Organisationen, die auf Microsofts Cloud-Ökosystem angewiesen sind, ist dies eine eindringliche Erinnerung an die Bedeutung robuster Authentifizierungsmechanismen.

Passwort-Spraying-Angriffe nutzen eine grundlegende Schwäche aus: die menschliche Neigung, Passwörter wiederzuverwenden oder vorhersehbare zu wählen. Trotz jahrelanger Befürwortung von Multi-Faktor-Authentifizierung (MFA) und passwortlosen Lösungen bleibt die Akzeptanz branchenübergreifend inkonsistent. Hunderte von Cloud-Tenants wurden betroffen, was darauf hindeutet, dass viele Organisationen möglicherweise nicht über die notwendigen Abwehrmechanismen oder Überwachungen verfügen, um solche Angriffe mit geringem Volumen und verteilter Natur zu erkennen.

Microsoft hat stets die Bedeutung der Konfiguration von Entra ID mit starken Sicherheitsrichtlinien betont, wie aus früheren Leitlinien von Microsoft Threat Intelligence hervorgeht. Doch die Hartnäckigkeit dieser Angriffe zeigt, dass viele Unternehmen noch immer hinterherhinken. Sicherheitsteams müssen Anomalieerkennung priorisieren, MFA universell durchsetzen und Benutzer über Passworthygiene aufklären, um diese Risiken zu mindern.

Da die UNK_SneakyStrike-Kampagne unvermindert fortgesetzt wird, steht die Cybersicherheitsgemeinschaft vor einer doppelten Herausforderung: der Bekämpfung der unmittelbaren Bedrohung und der Bewältigung der breiteren systemischen Probleme, die solche Angriffe ermöglichen. Branchenführer müssen sich für strengere Kontrollen bei der Verbreitung von Dual-Use-Tools wie TeamFiltration einsetzen und gleichzeitig in fortschrittliche Bedrohungserkennung investieren, die von künstlicher Intelligenz und maschinellem Lernen unterstützt wird.

Organisationen, die Microsoft Entra ID verwenden, sollten derzeit besonders wachsam sein. Regelmäßige Überprüfungen der Kontoaktivitäten, die Durchsetzung komplexer Passwortrichtlinien und der Einsatz von Echtzeitüberwachungslösungen sind nicht mehr optional, sondern unerlässlich. Die Einsätze sind hoch, und wie Branchenexperten warnen, müssen Benutzer und Administratoren gleichermaßen wachsam sein, um weitere Kompromittierungen in einer zunehmend feindlichen digitalen Landschaft zu verhindern.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!