Password Spraying: 130.000 Bots attackieren Microsoft-365-Konten
Sicherheitsforscher haben eine Angriffskampagne aufgedeckt, bei der die Angreifer mit einem Botnetz aus mehr als 130.000 kompromittierten Geräten versuchen, die Microsoft-365-Konten fremder Personen zu infiltrieren. Wie Bleeping Computer(öffnet im neuen Fenster) unter Verweis auf Untersuchungen von Security Scorecard(öffnet im neuen Fenster) berichtet, kommen dabei per Malware gestohlene Zugangsdaten zum Einsatz.
Den Angaben nach bedienen sich die Angreifer der sogenannten Basic Authentication und führen anhand der verfügbaren Anmeldeinformationen Password-Spraying-Angriffe(öffnet im neuen Fenster) durch – eine Art Brute-Force-Attacke, bei der bekannte Passwörter für die Anmeldung an verschiedenen Nutzerkonten durchprobiert werden.
Damit den Angreifern dabei keine Multi-Faktor-Authentifizierungen (MFA) in die Quere kommen, melden sie sich nicht bei interaktiven Log-in-Formularen an, wie Anwender sie gewohnt sind. Stattdessen attackiert das Botnetz über Dienst-zu-Dienst-Authentifizierungsmechanismen sowie veraltete Protokolle wie POP, IMAP oder SMTP, wo häufig keine MFA zum Einsatz kommt.
Zugangsdaten im Klartext
Basic Auth gilt aufgrund des Mangels an modernen Sicherheitsfeatures schon seit Jahren als veraltet . Die Zugangsdaten werden dabei häufig im Klartext oder in base64-kodierter Form übertragen. Dennoch kommt der unsichere Authentifizierungsmechanismus nach wie vor in einigen Umgebungen zum Einsatz.
Spätestens ab September 2025 dürfte damit aber Schluss sein, denn dann will Microsoft(öffnet im neuen Fenster) die Basic Authentication zugunsten von OAuth 2.0 gänzlich abschaffen. Für Privatanwender stellte der Konzern Basic Auth für die Anmeldung bei Outlook schon im vergangenen Jahr ein . Nutzer können sich dort nur noch per Modern Auth anmelden, womit Microsoft auch ein Token-System sowie die MFA bereitstellte.
Admins sollten Basic Auth abschalten
Bei den von Security Scorecard beobachteten Angriffen kommt erschwerend hinzu, dass die Anmeldeversuche der Angreifer oftmals keine Sicherheitswarnungen auslösen und daher unentdeckt bleiben. Haben sie eine gültige Nutzername-Passwort-Kombination ausfindig gemacht, so greifen sie damit auf Dienste zu, die keine MFA erfordern, oder führen gezielte Phishing-Angriffe durch, um die Zielperson zur Herausgabe eines MFA-Codes zu bewegen.
Wer genau hinter dem mindestens seit Dezember 2024 aktiven Botnetz steckt, ist unklar. Die Forscher nehmen jedoch auf Basis einer Analyse des Datenverkehrs an, dass ein chinesischer Akteur hinter der Angriffskampagne steckt.
Administratoren, die die Microsoft-365-Konten der Anwender vor entsprechenden Angriffen schützen wollen, wird empfohlen, Basic Auth zu deaktivieren und die Verwendung von MFA durchzusetzen. Hinweise auf bereits erfolgte Angriffe sind wohl in den Entra-ID-Protokollen zu finden. Dort tauchen dann unter dem User Agent "fasthttp" massenhaft fehlgeschlagene Anmeldeversuche von verschiedenen IP-Adressen auf.