Schwachstelle Big Tech

Was wir aus dem Angriff auf über 80.000 Microsoft Entra-ID-Konten gelernt haben

Bild: GettyImages, Credit Narvo Vexar

Cybersicherheitsforscher des Proofpoint Threat Research Teams deckten im Februar eine großangelegte Kampagne zur Kontoübernahme (Account Takeover, ATO) von über 80.000 Microsoft Entra-ID-Konten auf. Bedrohungsakteure nutzten für eine Serie von Angriffen auf Microsoft Entra ID-Benutzerkonten (vormals Azure Active Directory) ein bei GitHub frei zugängliches Open-Source-Framework.

Den Erkenntnissen von Proofpoint zufolge betraf die später als UNK_SneakyStrike-Kampagne bekannte Angriffsserie zwischen Dezember 2024 und März 2025 über 80.000 Benutzerkonten in Hunderten von Organisationen. In mehreren Fällen konnten Konten erfolgreich von den Angreifern übernommen werden.

Image
Description
Volumen der UNK_SneakyStrike-Kampagne im Zeitverlauf (Bildquelle: Proofpoint)

Die Bad Boys nutzten die Microsoft Teams-API und Amazon Web Services (AWS)-Server in verschiedenen geografischen Regionen für Versuche zur Benutzererfassung und anschließendes Passwort-Spraying. Dazu wurden Zugriffe auf bestimmte Ressourcen und native Anwendungen wie Microsoft Teams, OneDrive oder Outlook ins Visier genommen. Als Werkzeug kam das auf GitHub frei zugängliche TeamFiltration zum Einsatz.

Was ist TeamFiltration?

Penetrationstester und Sicherheitsexperten entwickeln kontinuierlich Tools für Penetrationstests, zum Beispiel um Angriffe auf Cloud-Umgebungen zu simulieren. Das 2021 von einem Bedrohungsforscher entwickelte Werkzeug TeamFiltration bietet ein robustes Framework für die Übernahme von Office 365 Entra ID-Konten, Datenexfiltration und dauerhaften Zugriff. TeamFiltration erstellt und pflegt eine Datenbank mit Informationen wie gültige Benutzerkonten, zuvor versuchte Kombinationen aus Benutzernamen und Passwörtern, gültige Kombinationen aus Benutzernamen und Passwörtern, abgerufene Zugriffstoken und vieles mehr, um vergangene und laufende Vorgänge zu verfolgen. Das hilft bei der Automatisierung verschiedener Taktiken, Techniken und Verfahren (TTPs), die in modernen ATO-Angriffsketten verwendet werden. Die Software ist ein Paradebeispiel für den Dual-Use von in bester Absicht geschaffenen Werkzeugen.

Image
Description
Ausführungsablauf von TeamFiltration (Bildquelle: TeamFiltration-Wiki auf GitHub)

Password Spraying ist eine Brute-Force-Methode, bei der ein Angreifer ein einziges gängiges Passwort für mehrere Konten derselben Anwendung ausprobiert. Das ist vor allem effektiv bei einer großen Anzahl von Konten. Die Wahrscheinlichkeit, dass mehrere Accounts dasselbe Passwort verwenden, ist groß; der zu verursachende Schaden bei vergleichsweise geringem Aufwand ist enorm.

Ein Angriff kommt selten allein

Der eigentliche Skandal war jedoch nicht das Ausspähen der Konten. Richtig ungemütlich wurde es erst in Verbindung mit einer Schwachstelle in Microsofts zentraler Identitäts- und Accountmanagementplattform Entra-ID. Im Juli entdeckte der Sicherheitsforscher Dirk-Jan Mollema eine Schwachstelle, die es möglich machte, jeden Entra-ID-Mandanten weltweit zu kompromittieren

„Bei der Vorbereitung meiner Vorträge auf der Black Hat und der DEF CON im Juli dieses Jahres habe ich die wohl bedeutendste Entra-ID-Sicherheitslücke entdeckt, die ich jemals finden werde. Diese Sicherheitslücke hätte es mir ermöglicht, jeden Entra-ID-Mandanten weltweit zu kompromittieren“, schreibt Mollema in einem Blogpost. „Wenn Sie als Entra-ID-Administrator dies lesen, bedeutet das in der Tat vollständigen Zugriff auf Ihren Mandanten.“

Von der Schwachstelle ausgenommen blieben wahrscheinlich nur nationale Cloud-Bereitstellungen wie Microsoft Cloud für das US-Government oder die Bereitstellung von Microsoft Azure und Microsoft 365 durch 21Vianet in China.

Laut Mollema bestand die Schwachstelle „aus zwei Komponenten: undokumentierten Identitäts-Tokens, sogenannten Actor-Tokens, die Microsoft in seinem Backend für die Service-to-Service-Kommunikation (S2S) verwendet. Darüber hinaus gab es einen kritischen Fehler in der (veralteten) Azure AD Graph API, die den ursprünglichen Mandanten nicht ordnungsgemäß validierte, sodass diese Tokens für den mandantenübergreifenden Zugriff verwendet werden konnten.“

Die Tokens ermöglichten den vollständigen Zugriff auf die Azure-AD-Graph-API in jedem Mandanten. Die Anforderung von Actor-Tokens wurde nicht protokolliert. Doch das war gar nicht das Problem. „Selbst wenn dies der Fall wäre, würden sie [die Protokolle, Anm. d. Red.] in meinem Mandanten statt im Mandanten des Opfers generiert werden, was bedeutet, dass es keine Aufzeichnungen über die Existenz dieser Tokens gibt.“

Der niederländische Sicherheitsforscher meldete die Sicherheitslücke noch am selben Tag dem Microsoft Security Response Center (MSRC). Microsoft reagierte umgehend und schloss die Sicherheitslücke innerhalb weniger Tage nach Einreichen des Berichts am 17. Juli 2025. Zudem wurden weitere Abhilfemaßnahmen eingeführt, die Anwendungen an der Anforderung von Actor-Tokens für die Azure AD Graph API hindern.

Die Schwachstelle CVE-2025-55241 wurde mit der maximalen CVSS-Bewertung von 10,0 eingestuft. Es gab keine Anzeichen dafür, dass die Schwachstelle in der Praxis ausgenutzt wurde.

Der Morgen danach

Welche Lehren können Organisationen für ihre Sicherheitsstrategie aus den Angriffen ziehen?

Geo- und Domain-Blocking sind nutzlos

Die Top-5-Ursprungsländer für die Angriffe waren die Vereinigten Staaten, Deutschland, Russland, Indien und die Niederlande.

Image
Ein Bild, das Text, Screenshot, Schrift, Logo enthält. KI-generierte Inhalte können fehlerhaft sein.
Description
Bildquelle: Proofpoint

Die fünf häufigsten Domains, die als Quelle für diese Angriffe dienten, waren Datacamp.co.uk, Microsoft.com, Amazon.com, Biterika.ru und Cyberassets.ae.

Geo- und Domain-Blocking ist als Verteidigungsmaßnahme nutzlos. Angreifer nutzen dieselben Dienstleister und Hosting-Länder wie legitime Organisationen.

MFA allein nicht ausreichend

„Diese Erkenntnisse ... unterstreichen, wie Angreifer weiterhin Lücken in Authentifizierungsprozessen finden und ausnutzen“, sagt David Mound, Threat Intelligence Researcher bei SecurityScorecard. „Unternehmen können es sich nicht leisten, davon auszugehen, dass MFA allein als Verteidigung ausreicht. Das Verständnis der Nuancen nicht-interaktiver Anmeldungen ist entscheidend, um diese Lücken zu schließen.“

IAM braucht zusätzliche Schutzmechanismen

Darren Guccione, CEO und Co-Founder von Keeper empfiehlt die Trennung von Identity and Access Management (IAM) und Privileged Access Management (PAM): "Die Offenlegung der Entra-ID-Sicherheitslücke ist eine Erinnerung daran, dass Identitäten nun die primäre Angriffsfläche für Unternehmen darstellen. Auch wenn das Problem schnell behoben wurde, zeigt die Tatsache, dass Angreifer es hätten ausnutzen können, um Administratorzugriff auf jeden Mandanten weltweit zu erlangen, die weitreichenden Auswirkungen identitätsbasierter Schwachstellen. Organisationen können sich nicht allein auf Identity and Access Management (IAM) verlassen. Wenn Angreifer gültige Anmeldedaten oder Token kompromittieren, können sie IAM-Kontrollen umgehen, Privilegien ausweiten und unentdeckt bleiben. Aus diesem Grund ist Privileged Access Management (PAM) eine wichtige Ergänzung zu IAM.”

Image
Description
Keeper-CEO und Co-Founder Darren Guccione (Quelle: Keeper)

IAM stellt sicher, dass alle Benutzer innerhalb einer Organisation die richtigen Berechtigungen haben, um ihre Arbeit zu erledigen. PAM hingegen konzentriert sich speziell auf Konten mit erhöhten Rechten – wie Administratoren –, indem es die Verwendung dieser Anmeldedaten kontrolliert, Aktivitäten überwacht und das Least-Privilege-Prinzip durchsetzt.

“Der Vorfall bekräftigt eine allgemeinere Lektion: IAM und PAM sind nicht austauschbar, sondern komplementär”, betont Guccione. “Wenn sie in ein Zero-Trust-Framework integriert werden, bieten sie eine mehrschichtige Verteidigung, die viel wirksamer darin ist, identitätsbasierte Angriffe zu stoppen. Da Identitätssysteme nun ein Hauptziel für Angreifer darstellen, müssen Unternehmen ihre Verteidigung stärken, indem sie IAM, PAM und Zero-Trust-Prinzipien zu einer kohärenten Sicherheitsstrategie kombinieren."

Effektive Verteidigung braucht KI

Das Verhalten vor und nach dem Zugriff muss kontinuierlich überwacht und regelmäßig von einem Expertenteam optimiert werden. Proofpoint empfiehlt in einem Blogpost: „Für einen effektiven Schutz ist eine Kombination von Überwachung, KI-gestützter Auswertung und Analyse sowie die Korrelation mit zusätzlichen Kontextinformationen wie Angriffsindikatoren (Indicators of Threat/Indicators of Compromise, IoT/IoC) und sowohl proprietären als auch externen Bedrohungsinformationen unerlässlich.“

Wie sieht die Praxis in Deutschland aus?

Laut aktueller Bitkom-Studie zum Wirtschaftsschutz halten sich 50% der befragten Unternehmen für gut oder sehr gut vorbereitet. Im Vorjahr waren es noch 3 Prozent mehr. Allerdings nutzen nur 10% künstliche Intelligenz (KI) für ihre Verteidigung. Das reicht nicht, um für die wachsende Bedrohung durch KI-gestützte Cyberangriffe gewappnet zu sein, meinte Bitkom-Präsident Dr. Ralf Wintergerst bei der Vorstellung der Studienergebnisse im Vorfeld der IT-SA und fordert: „Organisationen müssen gezielt KI-Kompetenz aufbauen.“

Diversity in Tech – aber anders

Auch ein Bedrohungsakteur denkt und handelt effizient. Ziele, die mit möglichst wenig Aufwand größtmöglichen Schaden verursachen, sind attraktiv. Wie groß das Ausmaß von Angriffen auf zentrale Dienste sein können, zeigten jüngst die Vorfälle an verschiedenen europäischen Flughäfen. Als Ursache wird ein Angriff auf IT-Systeme der Firma Collins Aerospace, einen zentralen Dienstleister der Luftfahrtbranche, vermutet. Der Vorfall beeinträchtigte über mehrere Tage den Flugverkehr an großen Flughäfen, darunter Berlin, London und Brüssel.

Anbieter- und Technologieredundanzen machen Infrastruktur widerstandsfähiger. Organisationen sollten daher mutiger werden und es Angreifern nicht so einfach machen. Mehr Diversität in den IT-Landschaften erhöht die Überlebenschance. Ein Vorgehen nach der Maxime „Niemand wurde je gefeuert für den Einsatz von Cisco/IBM/Microsoft…“ ist aus Cybersicherheitssicht grob fahrlässig. Und es gibt wahrlich genug Alternativen.