Ein massiver Password-Spray-Angriff auf das Azure-CLI kompromittierte 78 Microsoft-Konten. Angreifer nutzten ein veraltetes OAuth-Verfahren als Bypass.
Das IT-Sicherheitsunternehmen Huntress hat einen automatisierten Password-Spray-Angriff auf die Befehlszeilenschnittstelle Azure CLI von Microsoft dokumentiert. Die Sicherheitsanalysten stellten fest, dass die Aktivitäten im Wesentlichen von einem IPv6-Adressbereich ausgingen, der dem Infrastrukturanbieter LSHIY LLC zugeordnet ist. Huntress erklärte dazu:
„Zwischen dem 12. Juni und dem 26. Juni unternahm der dahinterstehende Akteur mehr als 81 Millionen Anmeldeversuche und kompromittierte erfolgreich mindestens 78 Microsoft-Konten in 64 Organisationen.“ Die Auswahl der Ziele basierte auf bekannten Listen bereits früher kompromittierter Zugangsdaten. Das Unternehmen ergänzte: „Die Zielrichtung dieser Angriffe scheint vollständig auf der Häufigkeit von Passwörtern auf kompromittierten Passwort-Kombinationslisten zu basieren und ist nicht auf eine bestimmte Art von Unternehmen oder Branche ausgerichtet.“
IT-Sicherheitsunternehmen Huntress
Ausnutzung des veralteten ROPC-Verfahrens
Der Angriff umging bestehende bedingte Zugriffsrichtlinien (Conditional Access Policies) bei den betroffenen Unternehmen. Dazu nutzten die Angreifer ein veraltetes Authentifizierungsverfahren namens Resource Owner Password Credentials (ROPC). Bei diesem Protokoll werden Benutzername und Passwort direkt an die Client-Anwendung übergeben, die diese Daten an den Autorisierungsserver weiterleitet, um ein Zugriffstoken zu erhalten.
Das Verfahren ist in der kommenden Spezifikation OAuth 2.1 als veraltet eingestuft. Microsoft rät von der Verwendung ab, da es nicht nativ mit der Multifaktor-Authentifizierung (MFA) kompatibel ist. Der Hersteller betont in seinen Dokumentationen: „In den meisten Szenarien sind sicherere Alternativen verfügbar und werden empfohlen. Dieser Ablauf erfordert ein sehr hohes Maß an Vertrauen in die Anwendung und birgt Risiken, die in anderen Abläufen nicht vorhanden sind. Sie sollten diesen Ablauf nur verwenden, wenn sicherere Abläufe nicht machbar sind.“
Schwachstellen bei der Konfiguration der Multifaktor-Authentifizierung
Die Kompromittierung der Konten gelang trotz eingerichteter Multifaktor-Authentifizierung, weil die Sicherheitsrichtlinien in den betroffenen Unternehmen Lücken aufwiesen. Die Schutzmechanismen griffen in vielen Fällen aus folgenden Gründen nicht:
- Die Multifaktor-Authentifizierung war nur für spezifische administrative Benutzergruppen wie Administratoren aktiv.
- Der Schutz war nur für ausgewählte Cloud-Apps statt für alle Cloud-Anwendungen konfiguriert, wodurch Zugriffe über das Azure CLI unberücksichtigt blieben.
- Die Richtlinien verlangten die erweiterte Authentifizierung ausschließlich bei Zugriffen von außerhalb vertrauenswürdiger Standorte.
Zudem setzten einige Firmen überhaupt keinen erweiterten Anmeldeschutz ein. Huntress berichtete: „Es ist erwähnenswert, dass acht von der Kampagne betroffene Unternehmen überhaupt keine MFA-Richtlinie hatten.“ Das Sicherheitsunternehmen stellte klar, dass dies kein generelles Versagen der Technologie darstellt: „Obwohl Bedrohungsakteure in dieser Kampagne trotz eingerichteter MFA eindringen konnten, sollte die Erkenntnis nicht sein, dass MFA überhaupt nicht funktioniert; stattdessen sollten Organisationen sicherstellen, dass ihre MFA-Richtlinien ordnungsgemäß konfiguriert sind, um den in diesen Vorfällen verwendeten Autorisierungsablauf zu berücksichtigen.“
Herkunft und Entwicklung der Angriffe auf Azure
Die Angriffe wurden über die Infrastruktur von LSHIY LLC abgewickelt, wobei sich die genutzten IP-Adressen geografisch auf die USA und China verteilen. Das Angriffsvolumen stieg im Juni 2026 deutlich an. Während zwischen dem 12. und 21. Juni täglich durchschnittlich zwei bis vier Konten gekapert wurden, stieg die Zahl am 22. Juni auf 30 betroffene Identitäten in 23 Unternehmen an.
Laut Huntress ist diese Kampagne Teil einer größeren Welle von Brute-Force-Angriffen, bei der das Gesamtvolumen solcher Aktivitäten im Kundenstamm des Sicherheitsunternehmens im Vergleich zu den Vormonaten temporär um das 155-Fache anstieg. Als Gegenmaßnahme wird empfohlen, die Multifaktor-Authentifizierung ausnahmslos für alle Benutzer, alle Cloud-Anwendungen und alle Client-Typen zu erzwingen sowie den Zugriff auf die Azure-CLI-Applikation für Konten ohne Administratorrechte zu sperren.
(red)