Grafik mit rotem Hintergrund und digitaler IT-Struktur in einem abstrakten Design.

Password Spraying: Wenn Microsoft 365 zur Zielscheibe wird

Zwischen dem 12. und 26. Juni 2026 registrierten Sicherheitsforscher mehr als 81 Millionen Anmeldeversuche gegen Microsoft-365-Umgebungen mittels Passwort Spraying.

Am Ende der zweiwöchigen Angriffswelle standen 78 gehackte Benutzerkonten in 64 Organisationen. Bemerkenswert ist dabei weniger die schiere Zahl der Versuche, sondern der Weg, auf dem die Angreifer erfolgreich waren: Password Spraying in Kombination mit einer veralteten Anmeldemethode, die viele Unternehmen unbewusst noch offen haben.

Der Fall zeigt exemplarisch, warum Passwort-Sicherheit und eine korrekt konfigurierte Mehrfaktor-Authentifizierung (MFA) auch 2026 keine Selbstverständlichkeit sind – selbst dort, wo entsprechende Richtlinien auf dem Papier längst bestehen. Was Sie alles über Passwort Spraying wissen sollten und wie Sie sich und Ihr Unternehmen nachhaltig schützen können, erfahren Sie hier.

So lief der Password Spraying-Angriff ab

Das IT-Sicherheitsunternehmen Huntress beobachtete die Passwort Spraying-Angriffe bei einer Vielzahl eigener Kundenumgebungen. Die Angreifer nutzten kein Passwort-Erraten im klassischen Sinn, sondern spielten zuvor aus Datenlecks bekannte Benutzername-Passwort-Kombinationen automatisiert gegen Microsoft-365-Konten durch. Klassisches Password Spraying setzt dabei bewusst auf niedrige Versuchszahlen pro Konto, um automatisierte Kontosperren zu umgehen – im vorliegenden Fall sorgte allein die schiere Masse an Zielkonten für das hohe Gesamtvolumen.

Für die Anmeldeversuche kam die Azure Command Line Interface (Azure CLI) zum Einsatz, ein reguläres Verwaltungswerkzeug für Microsofts Cloud-Plattform. Sobald eine gültige Kombination gefunden wurde, meldeten sich die Angreifer über den OAuth-Ablauf Resource Owner Password Credentials (ROPC) an.

PRIVATE

Der Passwort Spraying-Angriff in vier ​Schritten

1

Geleakte Zugangsdaten sammeln

Bekannte Benutzername-Passwort-Kombinationen aus früheren Datenlecks werden automatisiert bereitgestellt.

2

Automatisiertes Durchprobieren

Über die Azure CLI werden die Kombinationen gegen Microsoft-365-Konten getestet – mit niedriger Frequenz, um Sperren zu umgehen.

3

Über ROPC anmelden

Bei einem Treffer erfolgt die Anmeldung über den OAuth-Flow ROPC – ganz ohne interaktiven Login-Dialog.

4

Zugriffstoken erhalten

Der Token-Endpunkt stellt direkt ein Zugriffstoken aus. Ein zweiter Faktor wird dabei nie abgefragt.

Warum Password Spraying hier funktionierte

Auf den ersten Blick wirkt eine Erfolgsquote von 78 gehackten Konten bei 81 Millionen Versuchen verschwindend gering. Der eigentliche Befund liegt jedoch woanders: Ein erheblicher Teil der betroffenen Organisationen hatte MFA über Conditional-Access-Richtlinien (CAP) bereits aktiviert.
Trotzdem griff der Schutz nicht!

  • Der Grund liegt im verwendeten ROPC-Flow. Dieser OAuth-2.0-Mechanismus übermittelt Benutzername und Passwort direkt an den Token-Endpunkt eines Tenants und stellt bei Übereinstimmung unmittelbar ein Zugriffstoken aus.
  • Ein interaktiver Anmeldedialog, über den normalerweise die Abfrage eines zweiten Faktors erfolgt, findet dabei nicht statt.
  • Conditional-Access-Richtlinien greifen üblicherweise am Autorisierungs-Endpunkt, an dem auch die MFA-Abfrage ausgelöst wird.
  • Da ROPC diesen Endpunkt umgeht, kann eine an sich korrekt aktivierte MFA-Richtlinie wirkungslos bleiben, wenn sie nicht auch explizit alle Client-App-Typen und Authentifizierungsflows abdeckt.

ROPC umgeht die MFA-Abfrage

Microsoft empfiehlt daher in der eigenen Dokumentation, den ROPC-Flow zu vermeiden, sofern keine zwingenden technischen Gründe vorliegen.
Im aktuellen OAuth-2.1-Standard gilt der Grant-Type zudem als veraltet.

Typische Lücken in bestehenden Richtlinien

Huntress dokumentierte bei den betroffenen Organisationen mehrere wiederkehrende Konfigurationsmuster, die den Angriff begünstigten:

 
Diese Muster zeigen:

  • Das Vorhandensein von MFA allein sagt wenig über die tatsächliche Schutzwirkung aus.
  • Entscheidend ist die konkrete Abdeckung von Benutzern, Anwendungen und Authentifizierungsprotokollen in der jeweiligen Richtlinie.

Zahlen, Daten, Fakten

Kurz und knapp die Zahlen, Daten und Fakten der Passwort Spraying-Kampagne im Überblick:

Anmeldeversuche in 2 Wochen
0 Mio.
gehackte Konten
0
mehr Angriffe in 6 Monaten
0 -fach
Fehlversuche pro Tenant/Monat (Ø)
0

Password Spraying als wachsender Trend

Huntress ordnet die aktuelle Angriffswelle in einen größeren Trend ein. Nach eigenen Angaben ist das Volumen an Password Spraying-Angriffen über alle Kundenumgebungen hinweg in den vergangenen sechs Monaten um mehr als das 155-Fache gestiegen.

Die 81 Millionen Versuche aus dieser Angriffswelle sind damit weniger ein Ausreißer als ein Beleg für ein branchenweit zunehmendes Hintergrundrauschen an automatisierten Anmeldeversuchen. Die Zielauswahl folgte dabei keinem erkennbaren Branchenmuster – ausschlaggebend war allein, ob eine passende Kombination aus geleakten Zugangsdaten vorlag.

Empfehlungen für IT-Admins

Aus dem beschriebenen Password-Spraying-Vorfall lassen sich konkrete, sofort umsetzbare Prüfpunkte ableiten:

Bedeutung für Geschäftsführung und Entscheider

Für Entscheider ohne tiefes technisches Detailwissen lässt sich der Vorfall auf einen zentralen Punkt reduzieren:
Eine aktivierte Mehrfaktor-Authentifizierung ist kein Garant für Sicherheit, wenn sie nicht lückenlos auf alle Zugriffswege angewendet wird.

Die Kosten eines erfolgreichen Kontenübergriffs beschränken sich dabei selten auf das einzelne Postfach. Ein per ROPC erlangtes Zugriffstoken kann je nach Berechtigungsumfang des betroffenen Kontos weitreichenden Zugriff auf eine gesamte Microsoft-365- oder Azure-Umgebung ermöglichen.

Eine regelmäßige, unabhängige Überprüfung der eigenen IT-Sicherheitsrichtlinien gehört damit zu den sinnvollsten Investitionen in die IT-Sicherheit.

FAQ zu Password Spraying

Was ist Password Spraying?

Beim Password Spraying probieren Angreifer wenige, häufig genutzte Passwörter automatisiert gegen viele Konten – mit niedriger Versuchszahl pro Konto, um Kontosperren zu umgehen.

Warum schützt MFA in diesem Fall nicht?

Der genutzte ROPC-Flow übermittelt die Zugangsdaten direkt an den Token-Endpunkt und umgeht den interaktiven Login-Dialog, an dem sonst der zweite Faktor abgefragt wird.

Was ist der ROPC-Flow?

Resource Owner Password Credentials ist ein OAuth-Ablauf, der Benutzername und Passwort direkt gegen ein Zugriffstoken eintauscht. Er ist nicht mit MFA oder SSO kompatibel und gilt als veraltet.

Wie sichere ich Microsoft 365 dagegen ab?

Conditional-Access-Richtlinien vollständig konfigurieren, Legacy- und ROPC-Flows blockieren, Anmeldeprotokolle auswerten und ROPC-Tokenausstellungen per SIEM alarmieren.

Fazit

Die Angriffswelle gegen Microsoft-365-Konten macht deutlich, dass Password Spraying nach wie vor eine wirksame Angriffstechnik ist, wenn Authentifizierungsrichtlinien Lücken aufweisen.

Nicht die Menge der Anmeldeversuche entscheidet über den Erfolg eines Angriffs, sondern die Frage, ob wirklich jeder Authentifizierungsweg durch MFA abgedeckt ist. Unternehmen, die ihre Conditional-Access-Richtlinien auf Vollständigkeit prüfen, veraltete Anmeldeflows wie ROPC konsequent einschränken und ihre Anmeldeprotokolle aktiv auswerten, reduzieren das Risiko erheblich, selbst zu den Betroffenen zu zählen.

Weitere interessante Beiträge

The internet router is placed on the living room table
blog-microsoft-edge-sicherheitsluecke
Secure Boot-Zertifikate

War dieser Beitrag hilfreich?

Vielen Dank für Ihr Feedback!

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Verpassen Sie keine IT-News mehr!

Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig aktuelle Updates aus der IT-Welt.