Azure CLI Password Spray umgeht MFA

Azure CLI Password Spray

Eine Azure CLI Password Spray ROPC MFA Bypass Kampagne hat innerhalb von zwei Wochen mehr als 81 Millionen Login-Versuche gegen Microsoft-Konten unternommen und dabei 78 Konten in 64 Organisationen erfolgreich kompromittiert — ein erheblicher Teil davon in der Annahme, durch Multi-Faktor-Authentifizierung bereits geschützt zu sein. Die Angreifer haben MFA nicht gebrochen. Sie haben einen veralteten Authentifizierungspfad gefunden, den die meisten Conditional-Access-Richtlinien schlicht nicht berücksichtigen, und sind daran vorbeigegangen.

Was ist passiert

Zwischen dem 12. und 26. Juni verfolgte Huntress einen Bedrohungsakteur, dessen Aktivität mit dem Internet-Infrastrukturanbieter LSHIY LLC (AS32167) in Verbindung gebracht wird, bei einer anhaltenden Password-Spray-Kampagne gegen Microsoft-Konten. Der Höhepunkt lag um den 22. Juni, als an einem einzigen Tag 23 Unternehmen kompromittiert wurden. Über den gesamten Zeitraum kompromittierten die Angreifer zwei bis vier Konten pro Tag und erreichten insgesamt mindestens 78 Konten in 64 Organisationen.

Die Technik nutzt Resource Owner Password Credentials (ROPC), einen veralteten OAuth-2.0-Ablauf, der ursprünglich für Legacy-Skripte und Kommandozeilen-Tools gedacht war. ROPC sendet Benutzername und Passwort direkt an den Token-Endpunkt von Microsoft, ohne interaktive Eingabeaufforderung — das bedeutet: keine interaktive MFA-Abfrage und in vielen Tenant-Konfigurationen auch keine Durchsetzung der Conditional-Access-Richtlinie (CAP). Das Targeting erfolgte opportunistisch, basierend auf der Häufigkeit von Passwörtern in Breach-Combo-Listen, nicht nach Branche oder Unternehmensgröße.

Der wichtigste Befund ist nicht die Zahl der Versuche, sondern wo MFA versagte. Von den 23 am 22. Juni kompromittierten Organisationen hatten 15 MFA über Conditional Access implementiert und durchgesetzt. In jedem dieser Fälle war MFA jedoch auf bestimmte Anwendungen beschränkt (zum Beispiel „Microsoft Admin Portals“) statt auf „Alle Cloud-Apps“. Azure-CLI-Logins über ROPC waren von der Richtlinie schlicht nicht erfasst. Huntress berichtet zudem, dass das Volumen von Credential-Spray-Angriffen über die eigene Kundenbasis in den letzten sechs Monaten um mehr als das 155-fache gestiegen ist.

Warum das wichtig ist

Dies ist keine Produktschwachstelle bei Microsoft, und es gibt keinen Patch zu installieren. Es handelt sich um eine Lücke im Geltungsbereich der Conditional-Access-Richtlinie, die aktuell in einer relevanten Zahl von Microsoft-365- und Azure-Tenants existiert — auch in solchen, in denen Sicherheitsteams selbstbewusst berichten würden: „MFA ist überall durchgesetzt.“ Für den deutschen Mittelstand — wo Microsoft 365 und Azure nahezu flächendeckend im Einsatz sind — ist das eine Governance- und Konfigurationsfrage, keine technische. Ein Angreifer mit 81 Millionen Login-Versuchen und ohne jeglichen Exploit-Code fand eine Lücke, die die meisten internen Prüfungen übersehen hätten, weil die Prüffrage „Haben wir MFA?“ lautete statt „Deckt MFA jeden Authentifizierungspfad ab, einschließlich Legacy- und Kommandozeilen-Flows?“

Was Sie jetzt tun sollten

  1. Prüfen Sie noch heute Ihre Conditional-Access-Richtlinien: Stellen Sie sicher, dass MFA (oder eine Sperrregel) für „Alle Benutzer, Alle Cloud-Apps, Alle Client-App-Typen“ gilt — nicht nur für eine Teilmenge von Anwendungen.
  2. Aktivieren Sie die Einstellung userStrongAuthClientAuthNRequired, um starke Authentifizierung auf Client-Ebene zu erzwingen und ROPC-Logins komplett zu blockieren.
  3. Beschränken Sie den Azure-CLI-Zugriff auf Nutzer, die ihn tatsächlich benötigen; entfernen Sie ihn als Standardfähigkeit für reguläre Konten.
  4. Richten Sie eine Erkennung für genau dieses Angriffsmuster ein: Häufungen fehlgeschlagener Logins, ungewöhnliche Azure-CLI-Anmeldeaktivität, wiederholte Versuche über viele Konten in kurzer Zeit sowie erfolgreiche Logins unmittelbar nach Spray-Aktivität von unbekannten ASNs.

Wenn Sie nicht mit Sicherheit sagen können, ob Ihre MFA-Richtlinie ROPC und andere Legacy-Authentifizierungsabläufe abdeckt, ist genau das die Antwort, die Sie brauchen.

DIESEC Einschätzung

Dieses Muster sehen wir im Mittelstand regelmäßig: Eine Sicherheitskontrolle wird eingeführt, bei der Einführung einmal geprüft und danach als dauerhaft abgeschlossen betrachtet. MFA beschränkt auf „nur Admin-Portale“ war zum Zeitpunkt der Konfiguration für die damals existierende Anwendungslandschaft sehr wahrscheinlich korrekt und bewusst gewählt. Legacy- und Kommandozeilen-Authentifizierungsabläufe wie ROPC sind selten Teil dieser ursprünglichen Prüfung und melden sich nicht von selbst als Lücke — bis 81 Millionen Login-Versuche sie finden. Es ist dieselbe Fehlerklasse wie bei der FortiBleed-Credential-Kampagne im Juni: eine Kontrolle, die alle für vollständig hielten, mit einem ungeprüften Pfad, den niemand kontrolliert hatte. Identitätskonfiguration braucht denselben periodischen Prüfzyklus wie das Patch-Management, keine einmalige Einrichtung.

Unsicher, ob Ihre Conditional-Access-Richtlinien diese Lücke haben? Kontaktieren Sie DIESEC für eine schnelle Überprüfung Ihrer Identitätskonfiguration.

Quellen: Huntress | The Hacker News
Veröffentlicht: 2026-07-03 | Kategorie: Tägliche News | ~4 Min. Lesezeit