Ein groß angelegter Azure-Passwort-Spraying-Angriff richtet sich gegen Unternehmen, indem Angreifer eine veraltete Authentifizierungsmethode missbrauchen, die falsch konfigurierte Multi-Faktor-Authentifizierung (MFA) umgehen kann. Sicherheitsforscher registrierten innerhalb von zwei Wochen mehr als 81 Millionen Anmeldeversuche. Gleichzeitig kompromittierten die Angreifer zahlreiche Microsoft-Konten in 64 Organisationen.
Azure CLI steht im Visier
Das Cybersicherheitsunternehmen Huntress verfolgt eine groß angelegte, automatisierte Passwort-Spraying-Kampagne gegen das Microsoft Azure Command-Line Interface (Azure CLI).
In den vergangenen zwei Wochen verzeichneten die Forscher rund 81 Millionen Anmeldeversuche in Kundenumgebungen. Die Kampagne führte bereits zur Kompromittierung von 78 Microsoft-Konten in 64 Organisationen. Huntress warnt außerdem, dass die Angriffe weiter zunehmen.
Nach Angaben des Unternehmens ist die Zahl der Passwort-Spraying-Angriffe in den vergangenen sechs Monaten drastisch gestiegen. Die Aktivität hat sich um das 155-Fache erhöht.
Im Gegensatz zu gezielten Angriffen auf bestimmte Branchen basiert diese Kampagne auf Benutzernamen und Passwörtern aus bereits bekannten Datenlecks. Laut Huntress wählen die Angreifer ihre Opfer anhand der Häufigkeit bestimmter Passwörter in kompromittierten Zugangsdatenlisten aus – nicht nach Branche oder Unternehmensgröße.
Veraltete Authentifizierung ermöglicht die Umgehung von MFA
Die Angreifer nutzen OAuth Resource Owner Password Credentials (ROPC) aus – ein veraltetes Authentifizierungsprotokoll, das ursprünglich für vertrauenswürdige Anwendungen und Altsysteme entwickelt wurde.
Da ROPC lediglich einen Benutzernamen und ein Passwort erfordert, können sich Angreifer anmelden, ohne eine Multi-Faktor-Authentifizierung auszulösen, sofern Unternehmen diesen Authentifizierungsfluss nicht ausreichend abgesichert oder deaktiviert haben.
Huntress stellte fest, dass viele betroffene Organisationen ihre MFA-Absicherung für ausreichend hielten. Die Conditional Access Policies in Microsoft Entra ID deckten jedoch die von den Angreifern genutzte Authentifizierungsmethode nicht ab.
Dadurch konnten sich die Angreifer selbst in Umgebungen erfolgreich anmelden, in denen MFA bereits aktiviert war.
Angriffsinfrastruktur erschwert die Erkennung
Die Forscher führten den Großteil der schädlichen Anmeldeversuche auf AS32167 zurück – ein autonomes System des Internetdienstleisters LSHIY LLC in Hongkong.
Die Kampagne nutzt hauptsächlich den IPv6-Adressbereich 2a0a:d683::/32. Gleichzeitig lieferten Geolokalisierungsdaten widersprüchliche Ergebnisse. Einige IP-Adressen schienen aus den USA zu stammen, andere aus China. Dadurch wird die Erkennung und Filterung anhand von IP-Adressen deutlich erschwert.
Warum MFA versagte
Huntress untersuchte 23 Organisationen, die von der Kampagne betroffen waren, um herauszufinden, wie die Angreifer die vorhandenen Sicherheitsmaßnahmen umgehen konnten.
Nur acht Organisationen verfügten über keine MFA-Richtlinie. Die übrigen 15 Organisationen hatten MFA über Conditional Access Policies in Microsoft Entra ID eingeführt. Konfigurationsfehler verhinderten jedoch, dass der Schutz wie vorgesehen funktionierte.
Die Forscher identifizierten mehrere wiederkehrende Probleme:
- Fünf Organisationen aktivierten MFA nur für ausgewählte Benutzergruppen, etwa Administratoren. Standardbenutzerkonten blieben dadurch ungeschützt.
- Vier Organisationen verlangten MFA nur für bestimmte Anwendungen, beispielsweise Microsoft Admin Portals oder VPN-Dienste, anstatt für Alle Cloud-Apps. Azure CLI fiel daher nicht unter die Richtlinie.
- Vier Organisationen verlangten MFA nur bei Anmeldungen außerhalb der USA. Fehlerhafte IP-Geolokalisierung ermöglichte es den Angreifern, diese Einschränkungen zu umgehen.
- Zwei Organisationen betrieben ihre MFA-Richtlinien im Report-only-Modus. Das System überwachte die Aktivitäten lediglich, setzte die Authentifizierungsanforderungen jedoch nicht durch.
Laut Huntress ermöglichten diese Konfigurationsfehler den Angreifern eine erfolgreiche Anmeldung, obwohl MFA aktiviert war.
So schützen Unternehmen ihre Azure-Umgebungen
Die Forscher warnen, dass der veraltete ROPC-Authentifizierungsfluss falsch konfigurierte Conditional Access Policies vollständig umgehen kann.
Um das Risiko einer Kompromittierung zu verringern, empfehlen sie Unternehmen:
- MFA ausnahmslos für alle Benutzer zu verlangen.
- MFA für sämtliche Cloud-Anwendungen einschließlich Azure CLI zu aktivieren.
- Authentifizierungsrichtlinien für alle unterstützten Clientanwendungen durchzusetzen.
- Den Zugriff auf Azure CLI auf Administratoren und andere berechtigte Benutzer zu beschränken.
- Conditional Access Policies regelmäßig zu überprüfen und Konfigurationsfehler zu beseitigen.
Fazit
Der aktuelle Azure-Passwort-Spraying-Angriff zeigt, wie veraltete Authentifizierungsmethoden und unvollständig konfigurierte MFA-Richtlinien selbst leistungsfähige Sicherheitsmaßnahmen untergraben können. Viele der betroffenen Organisationen hatten Multi-Faktor-Authentifizierung bereits eingeführt. Schwachstellen in den Richtlinien rund um das veraltete ROPC-Protokoll ermöglichten den Angreifern dennoch erfolgreiche Anmeldungen. Regelmäßige Überprüfungen der Conditional Access Policies, die Abschaltung veralteter Authentifizierungsmethoden sowie MFA für alle Benutzer und Anwendungen gehören weiterhin zu den wichtigsten Maßnahmen zum Schutz von Microsoft-Azure-Umgebungen.


0 Kommentare zu „Azure-Passwort-Spraying-Angriff nutzt veraltete Anmeldemethode, um MFA zu umgehen“