IT-Forscher haben ein Botnet aus mehr als 130.000 infizierten Systemen dabei beobachtet, wie es Password-Spraying-Angriffe auf Microsoft-365-Konten ausführt. Durch das Probieren von Nutzernamen-Passwort-Kombinationen kann der Zugriff auf nur einfach gesicherte Konten gelingen.
Anzeige
Laut einer Analyse des Unternehmens SecurityScorecard haben die Angreifer insbesondere nicht-interaktive Zugänge mit sogenannter Basic-Authentication im Visier. Dadurch umgehen sie etwa Schutzmechanismen wie Mehr-Faktor-Authentifizierung (MFA). IT-Security-Teams hätten in dieser Kombination oftmals einen blinden Fleck vorzuweisen. Bei den Angriffen setzen die kriminellen Drahtzieher auf Zugangsdaten, die etwa Infostealer bei Opfern abgegriffen haben, und testen sie systematisch für viele Zugänge aus.
Den IT-Forschern zufolge haben Angreifer global mehrere Microsoft-365-Tenants derart attackiert. Das lasse auf eine weiterverbreitete und weiter bestehende Bedrohung schließen. Nicht-interaktive Log-ins dienen üblicherweise der Maschine-zu-Maschine-Kommunikation oder etwa für veraltete Protokolle wie POP, IMAP und SMTP – hierfür komme in vielen Konfigurationen keine MFA zum Einsatz. Organisationen, die lediglich auf Anmeldungs-Überwachung interaktiver Log-ins setzen, seien dafür zudem blind.
SecurityScorecard hat direkte Belege für dieses Verhalten in den nicht-interaktiven Anmelde-Protokollen entdeckt und rät allen Organisationen mit Microsoft-365-Tenants, zügig zu prüfen, ob sie ebenfalls betroffen sind. Sollte das der Fall sein, empfehlen die Autoren der Analyse, die Zugangsdaten zu allen Konten aus den Protokollen zurückzusetzen.
Die Risiken fassen die IT-Forscher knapp zusammen: Die Konten können von den Angreifern übernommen werden und diese damit unbefugten Zugriff erlangen. Die Geschäftsprozesse könnten gestört oder unterbrochen werden, außerdem könnten sich bösartige Akteure dann weiter im Netzwerk fortbewegen und ausbreiten.
Basic Authentication sollte eigentlich weitgehend deaktiviert sein. Microsoft hat etwa Exchange Online zum 1. Oktober 2022 die unsichere Anmeldung ausgetrieben. Private Anmeldungen etwa auf Outlook.com sind seit dem 16. September 2024 nicht mehr mit Basic Authentication möglich. In einigen Umgebungen sei jedoch noch immer Basic Authentication aktiv, etwa, weil Ausnahmeregeln noch greifen. Die will Microsoft der Analyse zufolge im September 2025 endgültig abwürgen, dort endet etwa SMTP-Auth mit der einfachen Anmeldung endgültig.
Die IT-Sicherheitsforscher weisen darauf hin, dass diese Angriffe unter anderem verdeutlichen, wie wichtig es ist, Basic Authentication rauszuwerfen und auf sicherere Anmeldemethoden zu setzen und Log-in-Muster proaktiv zu beobachten sowie starke Erkennungsmechanismen für Password-Spraying-Versuche einzurichten.
Interessierte können nach einer Registrierung ihrer E-Mail-Adresse die vollständige Analyse herunterladen.
Password-Spraying-Attacken sind ein häufig beobachteter Angriffsvektor. Der Hersteller Cisco etwa hat Ende vergangenen Jahres darauf reagiert und bessere Schutzmechanismen etwa vor Brute-Force- und Password-Spraying-Angriffe in die Firmware von den ASA- und FTD-Appliances integriert.
(
Kommentare