Eine Grafik mit rotem Hintergrund, die eine digitale IT-Struktur in einem abstrakten Design darstellt. Geeignet für technische Themen.
Eine Grafik mit rotem Hintergrund, die eine digitale IT-Struktur in einem abstrakten Design darstellt. Geeignet für technische Themen.
Zwischen dem 12. und 26. Juni 2026 registrierten Sicherheitsforscher mehr als 81 Millionen Anmeldeversuche gegen Microsoft-365-Umgebungen mittels Passwort Spraying.
Am Ende der zweiwöchigen Angriffswelle standen 78 gehackte Benutzerkonten in 64 Organisationen. Bemerkenswert ist dabei weniger die schiere Zahl der Versuche, sondern der Weg, auf dem die Angreifer erfolgreich waren: Password Spraying in Kombination mit einer veralteten Anmeldemethode, die viele Unternehmen unbewusst noch offen haben.
Der Fall zeigt exemplarisch, warum Passwort-Sicherheit und eine korrekt konfigurierte Mehrfaktor-Authentifizierung (MFA) auch 2026 keine Selbstverständlichkeit sind – selbst dort, wo entsprechende Richtlinien auf dem Papier längst bestehen. Was Sie alles über Passwort Spraying wissen sollten und wie Sie sich und Ihr Unternehmen nachhaltig schützen können, erfahren Sie hier.
Das IT-Sicherheitsunternehmen Huntress beobachtete die Passwort Spraying-Angriffe bei einer Vielzahl eigener Kundenumgebungen. Die Angreifer nutzten kein Passwort-Erraten im klassischen Sinn, sondern spielten zuvor aus Datenlecks bekannte Benutzername-Passwort-Kombinationen automatisiert gegen Microsoft-365-Konten durch. Klassisches Password Spraying setzt dabei bewusst auf niedrige Versuchszahlen pro Konto, um automatisierte Kontosperren zu umgehen – im vorliegenden Fall sorgte allein die schiere Masse an Zielkonten für das hohe Gesamtvolumen.
Für die Anmeldeversuche kam die Azure Command Line Interface (Azure CLI) zum Einsatz, ein reguläres Verwaltungswerkzeug für Microsofts Cloud-Plattform. Sobald eine gültige Kombination gefunden wurde, meldeten sich die Angreifer über den OAuth-Ablauf Resource Owner Password Credentials (ROPC) an.
Bekannte Benutzername-Passwort-Kombinationen aus früheren Datenlecks werden automatisiert bereitgestellt.
Über die Azure CLI werden die Kombinationen gegen Microsoft-365-Konten getestet – mit niedriger Frequenz, um Sperren zu umgehen.
Bei einem Treffer erfolgt die Anmeldung über den OAuth-Flow ROPC – ganz ohne interaktiven Login-Dialog.
Der Token-Endpunkt stellt direkt ein Zugriffstoken aus. Ein zweiter Faktor wird dabei nie abgefragt.
Auf den ersten Blick wirkt eine Erfolgsquote von 78 gehackten Konten bei 81 Millionen Versuchen verschwindend gering. Der eigentliche Befund liegt jedoch woanders: Ein erheblicher Teil der betroffenen Organisationen hatte MFA über Conditional-Access-Richtlinien (CAP) bereits aktiviert.
Trotzdem griff der Schutz nicht!
Microsoft empfiehlt daher in der eigenen Dokumentation, den ROPC-Flow zu vermeiden, sofern keine zwingenden technischen Gründe vorliegen.
Im aktuellen OAuth-2.1-Standard gilt der Grant-Type zudem als veraltet.
Huntress dokumentierte bei den betroffenen Organisationen mehrere wiederkehrende Konfigurationsmuster, die den Angriff begünstigten:
Diese Muster zeigen:
Kurz und knapp die Zahlen, Daten und Fakten der Passwort Spraying-Kampagne im Überblick:
Huntress ordnet die aktuelle Angriffswelle in einen größeren Trend ein. Nach eigenen Angaben ist das Volumen an Password Spraying-Angriffen über alle Kundenumgebungen hinweg in den vergangenen sechs Monaten um mehr als das 155-Fache gestiegen.
Die 81 Millionen Versuche aus dieser Angriffswelle sind damit weniger ein Ausreißer als ein Beleg für ein branchenweit zunehmendes Hintergrundrauschen an automatisierten Anmeldeversuchen. Die Zielauswahl folgte dabei keinem erkennbaren Branchenmuster – ausschlaggebend war allein, ob eine passende Kombination aus geleakten Zugangsdaten vorlag.
Aus dem beschriebenen Password-Spraying-Vorfall lassen sich konkrete, sofort umsetzbare Prüfpunkte ableiten:
Für Entscheider ohne tiefes technisches Detailwissen lässt sich der Vorfall auf einen zentralen Punkt reduzieren:
Eine aktivierte Mehrfaktor-Authentifizierung ist kein Garant für Sicherheit, wenn sie nicht lückenlos auf alle Zugriffswege angewendet wird.
Die Kosten eines erfolgreichen Kontenübergriffs beschränken sich dabei selten auf das einzelne Postfach. Ein per ROPC erlangtes Zugriffstoken kann je nach Berechtigungsumfang des betroffenen Kontos weitreichenden Zugriff auf eine gesamte Microsoft-365- oder Azure-Umgebung ermöglichen.
Eine regelmäßige, unabhängige Überprüfung der eigenen IT-Sicherheitsrichtlinien gehört damit zu den sinnvollsten Investitionen in die IT-Sicherheit.
Beim Password Spraying probieren Angreifer wenige, häufig genutzte Passwörter automatisiert gegen viele Konten – mit niedriger Versuchszahl pro Konto, um Kontosperren zu umgehen.
Der genutzte ROPC-Flow übermittelt die Zugangsdaten direkt an den Token-Endpunkt und umgeht den interaktiven Login-Dialog, an dem sonst der zweite Faktor abgefragt wird.
Resource Owner Password Credentials ist ein OAuth-Ablauf, der Benutzername und Passwort direkt gegen ein Zugriffstoken eintauscht. Er ist nicht mit MFA oder SSO kompatibel und gilt als veraltet.
Conditional-Access-Richtlinien vollständig konfigurieren, Legacy- und ROPC-Flows blockieren, Anmeldeprotokolle auswerten und ROPC-Tokenausstellungen per SIEM alarmieren.
Die Angriffswelle gegen Microsoft-365-Konten macht deutlich, dass Password Spraying nach wie vor eine wirksame Angriffstechnik ist, wenn Authentifizierungsrichtlinien Lücken aufweisen.
Nicht die Menge der Anmeldeversuche entscheidet über den Erfolg eines Angriffs, sondern die Frage, ob wirklich jeder Authentifizierungsweg durch MFA abgedeckt ist. Unternehmen, die ihre Conditional-Access-Richtlinien auf Vollständigkeit prüfen, veraltete Anmeldeflows wie ROPC konsequent einschränken und ihre Anmeldeprotokolle aktiv auswerten, reduzieren das Risiko erheblich, selbst zu den Betroffenen zu zählen.
Um Ihnen ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn Sie diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn Sie Ihre Zustimmung nicht erteilen oder zurückziehen, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig aktuelle Updates aus der IT-Welt.