mysticfoxde

Passwort-Spraying-Angriffe zielen auf 80.000 Microsoft Entra ID-Konten

Moin Zusammen,

laut dem folgenden Artikel laufen seit einiger Zeit, zum Teil massive Angrife gegen tausende Entra-ID-Accounts von hunderten Organisationen.

https://www.bleepingcomputer.com/news/security/password-spraying-attacks ...

Hackers have been using the TeamFiltration pentesting framework to target more than 80,000 Microsoft Entra ID accounts at hundreds of organizations worldwide.

The campaign started last December and has successfully hijacked multiple accounts, say researchers at cybersecurity company Proofpoint, who attribute the activity to a threat actor called UNK_SneakyStrike.

According to the researchers, the peak of the campaign happened on January 8, when it targeted 16,500 accounts in a single day. Such sharp bursts were followed by several days of inactivity.

---

Hacker haben das TeamFiltration-Pentesting-Framework verwendet, um mehr als 80.000 Microsoft Entra ID-Konten in Hunderten von Unternehmen weltweit anzugreifen.

Die Kampagne begann im Dezember letzten Jahres und hat erfolgreich mehrere Konten gekapert, sagen Forscher des Cybersicherheitsunternehmens Proofpoint, die die Aktivitäten auf einen Bedrohungsakteur namens UNK_SneakyStrike zurückführen.

Den Forschern zufolge erreichte die Kampagne am 8. Januar ihren Höhepunkt, als sie an einem einzigen Tag 16.500 Konten angriff. Auf solche starken Ausbrüche folgten mehrere Tage der Inaktivität.

😔

Gruss Alex
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673379

Url: https://administrator.de/info/microsoft-entra-id-angriff-hacker-673379.html

Ausgedruckt am: 04.07.2025 um 05:07 Uhr

Starmanager
Starmanager 13.06.2025 um 07:44:55 Uhr
Goto Top
Das ist die Aussicht auf die Zukunft der Cloud. Je mehr Firmen in die Cloud gehen um so mehr Potential ist da, um die Energie in das Hacken zu stecken.
SlainteMhath
SlainteMhath 13.06.2025 um 07:51:29 Uhr
Goto Top
Deswegen MFA face-smile
Lochkartenstanzer
Lochkartenstanzer 13.06.2025 um 08:34:37 Uhr
Goto Top
Zitat von @SlainteMhath:

Deswegen MFA face-smile

Das ist aber auch kein großes Hindernis mehr.

lks
SlainteMhath
SlainteMhath 13.06.2025 um 08:39:21 Uhr
Goto Top
Naja, gegen sowas primitives wie Password Spraying hilft's aber schon face-smile
maulwurf222
maulwurf222 14.06.2025 um 05:59:45 Uhr
Goto Top
Das übliche Cloud-MS bashing mal wieder. So ne Cloud-Umgebung gehört ordentlich abgesichert, dafür gibts auch Schulungen, Certs und zig Möglichkeiten. Die Firmen sollten ihre Cloud-Admins eher mal unter die Lupe nehmen, was die da teilweise fabrizieren (MFA unabsichtlich deaktiviert, gab es hier auf diesem Forum auch schon) und wenns schief geht wird MS gebasht.
Lochkartenstanzer
Lochkartenstanzer 14.06.2025 aktualisiert um 08:07:24 Uhr
Goto Top
Zitat von @maulwurf222:

Das übliche Cloud-MS bashing mal wieder. So ne Cloud-Umgebung gehört ordentlich abgesichert, dafür gibts auch Schulungen, Certs und zig Möglichkeiten. Die Firmen sollten ihre Cloud-Admins eher mal unter die Lupe nehmen, was die da teilweise fabrizieren (MFA unabsichtlich deaktiviert, gab es hier auf diesem Forum auch schon) und wenns schief geht wird MS gebasht.

Könnten. Sollten, etc.

Das hat schon onpremises nicht ordentliche funktioniert..wieso sollte das in der Cloud besser sein. Nur in der Cloud ist es noch schlimmer, weil die da noch exponierter sind.

lks
MysticFoxDE
MysticFoxDE 14.06.2025 aktualisiert um 09:42:49 Uhr
Goto Top
Moin @maulwurf222,

Das übliche Cloud-MS bashing mal wieder.

ja natürlich, wenn Microsofts Marketing und oder deren Vertrieb, ständig über die OnPrem Umgebungen abziehen um ihren Cloud Murks zu verkaufen, dann ist das natürlich vollkommen OK.
Wenn man jedoch deren Cloudmühl kritisiert und zwar durchaus berechtigt, dann ist das natürlich gleich bashing. 😔

So ne Cloud-Umgebung gehört ordentlich abgesichert, dafür gibts auch Schulungen, Certs und zig Möglichkeiten.

Das stimme ich dir vollständig zu und ja, man kann auch eine Cloud Umgebung halbwegs sicher abdichten.

Aber, in den meisten Fällen ist genau dieses Abdichten und auch viele andere Dinge, bei einer Cloud Umgebung um einiges aufwendiger und auch komplizierter wie bei einer OnPrem Umgebung und genau das, erwähnt das entsprechende Cloud Marketing und oder der dessen Vertrieb, jedoch nicht wirklich.

Die Firmen sollten ihre Cloud-Admins eher mal unter die Lupe nehmen, was die da teilweise fabrizieren (MFA unabsichtlich deaktiviert, gab es hier auf diesem Forum auch schon) und wenns schief geht wird MS gebasht.

Nicht die Admins sind hier meiner Erfahrung nach das Problem, sondern deren Arbeitgeber, die diesen Mühl meist einfach erzwingen, ohne Rücksicht auf die Kompetenzen/Kapazitäten der eigenen IT zu nehmen.

Auch ein Teil unserer Kunden hat bereits schon auf Exchange-Online umgestellt und wenn ich die entsprechenden Admins darauf anspreche, warum sie sich das angetan haben, bekommen ich überwiegend die Antwort, dass der Vertrieb das unbedingt und vor allem meist wegen Teams so unbedingt haben wollte, weil sie sonst nicht mehr anständig verkaufen könnten.

Vor gerade mal ein paar Monaten, hat wieder einer unserer Kunden mit der oben angesprochenen Begründung, seinen OnPrem Exchange auf Echange-Online migriert. Keine zwei Wochen später, kam genau von diesem Kunden dann eine Info-Mail, dass eines deren Exchange-Online Postfächer, leider gekapert und missbraucht wurde. 😔

Vorher hatten sie mit ihren OnPrem Exchange jahrelang übrigens nicht mal ansatzweise ähnliche Probleme und zwar ganz ohne 2FA.

Gruss Alex
Lochkartenstanzer
Lochkartenstanzer 14.06.2025 um 09:44:46 Uhr
Goto Top
Zitat von @MysticFoxDE:

Vor gerade mal ein paar Monaten, hat wieder einer unserer Kunden mit der oben angesprochenen Begründung, seinen OnPrem Exchange auf Echange-Online migriert. Keine zwei Wochen später, kam genau von diesem Kunden dann eine Info-Mail, dass eines deren Exchange-Online Postfächer, leider gekapert und missbraucht wurde. 😔

Vorher hatten sie mit ihren OnPrem Exchange jahrelang übrigens nicht mal ansatzweise ähnlich Probleme und zwar ganz ohne 2FA.


Bestätigt meine Erfahrungen mit meinen Kunden. In premises läuft meist es jahrelang Problemlos, selbst wenn die Admins nicht die fittesten sind. Bei Migration auf die Cloud ist gefühlt jede Woche irgendwas faul - die rufen regelmäßig "Hilfe!".

Und nein, die haben meist nicht die Zeit sich wirklich ordentlich einzuarbeiten. Die bekommen sie nicht von der Führungsebene

lks
maulwurf222
maulwurf222 14.06.2025 um 12:55:55 Uhr
Goto Top
So ist das eben, IT bedeutet lebenslanges Lernen und wer sich da auf seine On Prem Exchange Kenntnisse verlässt ist schlussendlich verloren. Die Systeme werden komplexer, die Angreifer mittlerweile professionalisiert und das bedeutet eben, dass man keinen 0815 Admin an solche Systeme lassen darf, Stichwort Fachkraft. Wenn man auch nur einen Hauch Security lebt wird der genannte Sprayangriff nur ein müdes lächeln hervorzaubern. Bei allen anderen war es hoffentlich ein Weckruf entweder A) den Admin rauszuwerfen oder B) sich jemanden holen, der Ahnung hat.
MysticFoxDE
MysticFoxDE 14.06.2025 aktualisiert um 13:30:54 Uhr
Goto Top
Moin @maulwurf222,

So ist das eben, IT bedeutet lebenslanges Lernen

ja das stimmt, aber, dazu müssen die entsprechenden Arbeitgeber auch die Möglichkeiten bieten/stellen, was sehr oft schlichtweg nicht der Fall ist!

und wer sich da auf seine On Prem Exchange Kenntnisse verlässt ist schlussendlich verloren.

Bei dem jetzigen Stand der Dinge, sehe ich das eher genau andersherum. 🙃

Die Systeme werden komplexer, die Angreifer mittlerweile professionalisiert und das bedeutet eben, dass man keinen 0815 Admin an solche Systeme lassen darf, Stichwort Fachkraft.

Ja, vor allem die Coud-Welt wird von Tag zu Tag immer komplizierter ... denn man muss ja auch ständig etwas Neues zum andrehen haben, zudem hängt bei einer Cloudlösund, nun mal Prinzipbedingt auch mindestens gleich der halbe Hintern aus dem Fenster.

Vor allem was Exchange angeht, so braucht ein OnPrem von aussen höchstens den Port 25 und selbst diese Verbindung, kann man mit einem SGW dazwischen, mit einem sehr überschaubaren Aufwand und ohne viel Fachkenntnisse schützen. 😉

Wenn man auch nur einen Hauch Security lebt wird der genannte Sprayangriff nur ein müdes lächeln hervorzaubern.

Und ich kann bei den meisten „Einmalpasswörtern“ mittlerweile nur schmunzeln, respektive, eigentlich ist mir eher nach 😭 zumute, weil in den meisten Fällen dahinter eh nur eine fixe Passphrase verwendet wird. 😔

Gruss Alex
ukulele-7
ukulele-7 16.06.2025 um 10:00:05 Uhr
Goto Top
Zitat von @maulwurf222:

entweder A) den Admin rauszuwerfen oder B) sich jemanden holen, der Ahnung hat.
Genau. Weil ich für meine lokale IT keinen Admin mehr finde, den ich bezahlen kann, gehe ich in die Cloud, die mit Einfachheit, Sicherheit und Kostenersparnis wirbt. Dann suche ich mir einen Cloud Experten, der Bock hat, auf meinem Bauhof seine Karriere fort zu setzen anstatt bei irgendeinem fancy Dienstleister zu arbeiten...
Lochkartenstanzer
Lochkartenstanzer 16.06.2025 um 10:04:59 Uhr
Goto Top
Zitat von @ukulele-7:

,Dann suche ich mir einen Cloud Experten, der Bock hat, auf meinem Bauhof seine Karriere fort zu setzen anstatt bei irgendeinem fancy Dienstleister zu arbeiten...

Der ist natürlich viel billiger als der Admin, den man nicht einstellen konnte, weil er zu teuer ist. face-smile

lks