13.06.2025
3695
12
0Passwort-Spraying-Angriffe zielen auf 80.000 Microsoft Entra ID-Konten
Moin Zusammen,
laut dem folgenden Artikel laufen seit einiger Zeit, zum Teil massive Angrife gegen tausende Entra-ID-Accounts von hunderten Organisationen.
bleepingcomputer.com/news/security/password-spraying-attacks-tar ...
---
😔
Gruss Alex
laut dem folgenden Artikel laufen seit einiger Zeit, zum Teil massive Angrife gegen tausende Entra-ID-Accounts von hunderten Organisationen.
bleepingcomputer.com/news/security/password-spraying-attacks-tar ...
Hackers have been using the TeamFiltration pentesting framework to target more than 80,000 Microsoft Entra ID accounts at hundreds of organizations worldwide.
The campaign started last December and has successfully hijacked multiple accounts, say researchers at cybersecurity company Proofpoint, who attribute the activity to a threat actor called UNK_SneakyStrike.
According to the researchers, the peak of the campaign happened on January 8, when it targeted 16,500 accounts in a single day. Such sharp bursts were followed by several days of inactivity.
The campaign started last December and has successfully hijacked multiple accounts, say researchers at cybersecurity company Proofpoint, who attribute the activity to a threat actor called UNK_SneakyStrike.
According to the researchers, the peak of the campaign happened on January 8, when it targeted 16,500 accounts in a single day. Such sharp bursts were followed by several days of inactivity.
---
Hacker haben das TeamFiltration-Pentesting-Framework verwendet, um mehr als 80.000 Microsoft Entra ID-Konten in Hunderten von Unternehmen weltweit anzugreifen.
Die Kampagne begann im Dezember letzten Jahres und hat erfolgreich mehrere Konten gekapert, sagen Forscher des Cybersicherheitsunternehmens Proofpoint, die die Aktivitäten auf einen Bedrohungsakteur namens UNK_SneakyStrike zurückführen.
Den Forschern zufolge erreichte die Kampagne am 8. Januar ihren Höhepunkt, als sie an einem einzigen Tag 16.500 Konten angriff. Auf solche starken Ausbrüche folgten mehrere Tage der Inaktivität.
Die Kampagne begann im Dezember letzten Jahres und hat erfolgreich mehrere Konten gekapert, sagen Forscher des Cybersicherheitsunternehmens Proofpoint, die die Aktivitäten auf einen Bedrohungsakteur namens UNK_SneakyStrike zurückführen.
Den Forschern zufolge erreichte die Kampagne am 8. Januar ihren Höhepunkt, als sie an einem einzigen Tag 16.500 Konten angriff. Auf solche starken Ausbrüche folgten mehrere Tage der Inaktivität.
😔
Gruss Alex
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673379
Url: https://administrator.de/info/microsoft-entra-id-angriff-hacker-673379.html
Ausgedruckt am: 18.07.2025 um 20:07 Uhr
12 Kommentare
Neuester Kommentar
Das ist die Aussicht auf die Zukunft der Cloud. Je mehr Firmen in die Cloud gehen um so mehr Potential ist da, um die Energie in das Hacken zu stecken.
2
Deswegen MFA 
2
Naja, gegen sowas primitives wie Password Spraying hilft's aber schon
1
Das übliche Cloud-MS bashing mal wieder. So ne Cloud-Umgebung gehört ordentlich abgesichert, dafür gibts auch Schulungen, Certs und zig Möglichkeiten. Die Firmen sollten ihre Cloud-Admins eher mal unter die Lupe nehmen, was die da teilweise fabrizieren (MFA unabsichtlich deaktiviert, gab es hier auf diesem Forum auch schon) und wenns schief geht wird MS gebasht.
Zitat von @maulwurf222:
Das übliche Cloud-MS bashing mal wieder. So ne Cloud-Umgebung gehört ordentlich abgesichert, dafür gibts auch Schulungen, Certs und zig Möglichkeiten. Die Firmen sollten ihre Cloud-Admins eher mal unter die Lupe nehmen, was die da teilweise fabrizieren (MFA unabsichtlich deaktiviert, gab es hier auf diesem Forum auch schon) und wenns schief geht wird MS gebasht.
Das übliche Cloud-MS bashing mal wieder. So ne Cloud-Umgebung gehört ordentlich abgesichert, dafür gibts auch Schulungen, Certs und zig Möglichkeiten. Die Firmen sollten ihre Cloud-Admins eher mal unter die Lupe nehmen, was die da teilweise fabrizieren (MFA unabsichtlich deaktiviert, gab es hier auf diesem Forum auch schon) und wenns schief geht wird MS gebasht.
Könnten. Sollten, etc.
Das hat schon onpremises nicht ordentliche funktioniert..wieso sollte das in der Cloud besser sein. Nur in der Cloud ist es noch schlimmer, weil die da noch exponierter sind.
lks
Moin @maulwurf222,
ja natürlich, wenn Microsofts Marketing und oder deren Vertrieb, ständig über die OnPrem Umgebungen abziehen um ihren Cloud Murks zu verkaufen, dann ist das natürlich vollkommen OK.
Wenn man jedoch deren Cloudmühl kritisiert und zwar durchaus berechtigt, dann ist das natürlich gleich bashing. 😔
Das stimme ich dir vollständig zu und ja, man kann auch eine Cloud Umgebung halbwegs sicher abdichten.
Aber, in den meisten Fällen ist genau dieses Abdichten und auch viele andere Dinge, bei einer Cloud Umgebung um einiges aufwendiger und auch komplizierter wie bei einer OnPrem Umgebung und genau das, erwähnt das entsprechende Cloud Marketing und oder der dessen Vertrieb, jedoch nicht wirklich.
Nicht die Admins sind hier meiner Erfahrung nach das Problem, sondern deren Arbeitgeber, die diesen Mühl meist einfach erzwingen, ohne Rücksicht auf die Kompetenzen/Kapazitäten der eigenen IT zu nehmen.
Auch ein Teil unserer Kunden hat bereits schon auf Exchange-Online umgestellt und wenn ich die entsprechenden Admins darauf anspreche, warum sie sich das angetan haben, bekommen ich überwiegend die Antwort, dass der Vertrieb das unbedingt und vor allem meist wegen Teams so unbedingt haben wollte, weil sie sonst nicht mehr anständig verkaufen könnten.
Vor gerade mal ein paar Monaten, hat wieder einer unserer Kunden mit der oben angesprochenen Begründung, seinen OnPrem Exchange auf Echange-Online migriert. Keine zwei Wochen später, kam genau von diesem Kunden dann eine Info-Mail, dass eines deren Exchange-Online Postfächer, leider gekapert und missbraucht wurde. 😔
Vorher hatten sie mit ihren OnPrem Exchange jahrelang übrigens nicht mal ansatzweise ähnliche Probleme und zwar ganz ohne 2FA.
Gruss Alex
Das übliche Cloud-MS bashing mal wieder.
ja natürlich, wenn Microsofts Marketing und oder deren Vertrieb, ständig über die OnPrem Umgebungen abziehen um ihren Cloud Murks zu verkaufen, dann ist das natürlich vollkommen OK.
Wenn man jedoch deren Cloudmühl kritisiert und zwar durchaus berechtigt, dann ist das natürlich gleich bashing. 😔
So ne Cloud-Umgebung gehört ordentlich abgesichert, dafür gibts auch Schulungen, Certs und zig Möglichkeiten.
Das stimme ich dir vollständig zu und ja, man kann auch eine Cloud Umgebung halbwegs sicher abdichten.
Aber, in den meisten Fällen ist genau dieses Abdichten und auch viele andere Dinge, bei einer Cloud Umgebung um einiges aufwendiger und auch komplizierter wie bei einer OnPrem Umgebung und genau das, erwähnt das entsprechende Cloud Marketing und oder der dessen Vertrieb, jedoch nicht wirklich.
Die Firmen sollten ihre Cloud-Admins eher mal unter die Lupe nehmen, was die da teilweise fabrizieren (MFA unabsichtlich deaktiviert, gab es hier auf diesem Forum auch schon) und wenns schief geht wird MS gebasht.
Nicht die Admins sind hier meiner Erfahrung nach das Problem, sondern deren Arbeitgeber, die diesen Mühl meist einfach erzwingen, ohne Rücksicht auf die Kompetenzen/Kapazitäten der eigenen IT zu nehmen.
Auch ein Teil unserer Kunden hat bereits schon auf Exchange-Online umgestellt und wenn ich die entsprechenden Admins darauf anspreche, warum sie sich das angetan haben, bekommen ich überwiegend die Antwort, dass der Vertrieb das unbedingt und vor allem meist wegen Teams so unbedingt haben wollte, weil sie sonst nicht mehr anständig verkaufen könnten.
Vor gerade mal ein paar Monaten, hat wieder einer unserer Kunden mit der oben angesprochenen Begründung, seinen OnPrem Exchange auf Echange-Online migriert. Keine zwei Wochen später, kam genau von diesem Kunden dann eine Info-Mail, dass eines deren Exchange-Online Postfächer, leider gekapert und missbraucht wurde. 😔
Vorher hatten sie mit ihren OnPrem Exchange jahrelang übrigens nicht mal ansatzweise ähnliche Probleme und zwar ganz ohne 2FA.
Gruss Alex
1Zitat von @MysticFoxDE:
Vor gerade mal ein paar Monaten, hat wieder einer unserer Kunden mit der oben angesprochenen Begründung, seinen OnPrem Exchange auf Echange-Online migriert. Keine zwei Wochen später, kam genau von diesem Kunden dann eine Info-Mail, dass eines deren Exchange-Online Postfächer, leider gekapert und missbraucht wurde. 😔
Vorher hatten sie mit ihren OnPrem Exchange jahrelang übrigens nicht mal ansatzweise ähnlich Probleme und zwar ganz ohne 2FA.
Vor gerade mal ein paar Monaten, hat wieder einer unserer Kunden mit der oben angesprochenen Begründung, seinen OnPrem Exchange auf Echange-Online migriert. Keine zwei Wochen später, kam genau von diesem Kunden dann eine Info-Mail, dass eines deren Exchange-Online Postfächer, leider gekapert und missbraucht wurde. 😔
Vorher hatten sie mit ihren OnPrem Exchange jahrelang übrigens nicht mal ansatzweise ähnlich Probleme und zwar ganz ohne 2FA.
Bestätigt meine Erfahrungen mit meinen Kunden. In premises läuft meist es jahrelang Problemlos, selbst wenn die Admins nicht die fittesten sind. Bei Migration auf die Cloud ist gefühlt jede Woche irgendwas faul - die rufen regelmäßig "Hilfe!".
Und nein, die haben meist nicht die Zeit sich wirklich ordentlich einzuarbeiten. Die bekommen sie nicht von der Führungsebene
lks
2
So ist das eben, IT bedeutet lebenslanges Lernen und wer sich da auf seine On Prem Exchange Kenntnisse verlässt ist schlussendlich verloren. Die Systeme werden komplexer, die Angreifer mittlerweile professionalisiert und das bedeutet eben, dass man keinen 0815 Admin an solche Systeme lassen darf, Stichwort Fachkraft. Wenn man auch nur einen Hauch Security lebt wird der genannte Sprayangriff nur ein müdes lächeln hervorzaubern. Bei allen anderen war es hoffentlich ein Weckruf entweder A) den Admin rauszuwerfen oder B) sich jemanden holen, der Ahnung hat.
Moin @maulwurf222,
ja das stimmt, aber, dazu müssen die entsprechenden Arbeitgeber auch die Möglichkeiten bieten/stellen, was sehr oft schlichtweg nicht der Fall ist!
Bei dem jetzigen Stand der Dinge, sehe ich das eher genau andersherum. 🙃
Ja, vor allem die Coud-Welt wird von Tag zu Tag immer komplizierter ... denn man muss ja auch ständig etwas Neues zum andrehen haben, zudem hängt bei einer Cloudlösund, nun mal Prinzipbedingt auch mindestens gleich der halbe Hintern aus dem Fenster.
Vor allem was Exchange angeht, so braucht ein OnPrem von aussen höchstens den Port 25 und selbst diese Verbindung, kann man mit einem SGW dazwischen, mit einem sehr überschaubaren Aufwand und ohne viel Fachkenntnisse schützen. 😉
Und ich kann bei den meisten „Einmalpasswörtern“ mittlerweile nur schmunzeln, respektive, eigentlich ist mir eher nach 😭 zumute, weil in den meisten Fällen dahinter eh nur eine fixe Passphrase verwendet wird. 😔
Gruss Alex
So ist das eben, IT bedeutet lebenslanges Lernen
ja das stimmt, aber, dazu müssen die entsprechenden Arbeitgeber auch die Möglichkeiten bieten/stellen, was sehr oft schlichtweg nicht der Fall ist!
und wer sich da auf seine On Prem Exchange Kenntnisse verlässt ist schlussendlich verloren.
Bei dem jetzigen Stand der Dinge, sehe ich das eher genau andersherum. 🙃
Die Systeme werden komplexer, die Angreifer mittlerweile professionalisiert und das bedeutet eben, dass man keinen 0815 Admin an solche Systeme lassen darf, Stichwort Fachkraft.
Ja, vor allem die Coud-Welt wird von Tag zu Tag immer komplizierter ... denn man muss ja auch ständig etwas Neues zum andrehen haben, zudem hängt bei einer Cloudlösund, nun mal Prinzipbedingt auch mindestens gleich der halbe Hintern aus dem Fenster.
Vor allem was Exchange angeht, so braucht ein OnPrem von aussen höchstens den Port 25 und selbst diese Verbindung, kann man mit einem SGW dazwischen, mit einem sehr überschaubaren Aufwand und ohne viel Fachkenntnisse schützen. 😉
Wenn man auch nur einen Hauch Security lebt wird der genannte Sprayangriff nur ein müdes lächeln hervorzaubern.
Und ich kann bei den meisten „Einmalpasswörtern“ mittlerweile nur schmunzeln, respektive, eigentlich ist mir eher nach 😭 zumute, weil in den meisten Fällen dahinter eh nur eine fixe Passphrase verwendet wird. 😔
Gruss Alex
Zitat von @maulwurf222:
entweder A) den Admin rauszuwerfen oder B) sich jemanden holen, der Ahnung hat.
Genau. Weil ich für meine lokale IT keinen Admin mehr finde, den ich bezahlen kann, gehe ich in die Cloud, die mit Einfachheit, Sicherheit und Kostenersparnis wirbt. Dann suche ich mir einen Cloud Experten, der Bock hat, auf meinem Bauhof seine Karriere fort zu setzen anstatt bei irgendeinem fancy Dienstleister zu arbeiten...entweder A) den Admin rauszuwerfen oder B) sich jemanden holen, der Ahnung hat.
1Zitat von @ukulele-7:
,Dann suche ich mir einen Cloud Experten, der Bock hat, auf meinem Bauhof seine Karriere fort zu setzen anstatt bei irgendeinem fancy Dienstleister zu arbeiten...
,Dann suche ich mir einen Cloud Experten, der Bock hat, auf meinem Bauhof seine Karriere fort zu setzen anstatt bei irgendeinem fancy Dienstleister zu arbeiten...
Der ist natürlich viel billiger als der Admin, den man nicht einstellen konnte, weil er zu teuer ist.
lks
