Im digitalen Zeitalter ist Cybersicherheit eine der wichtigsten Herausforderungen für Unternehmen und Privatpersonen gleichermaßen. Erst kürzlich bestätigte Microsoft einen schwerwiegenden Password Spraying Angriff, der vor allem Cloud-Mandanten im Bildungsbereich ins Visier nimmt. Dieser Angriff, ausgeführt von einer Hackergruppe namens Storm-1977, zeigt einmal mehr die wachsende Bedrohung durch automatisierte Angriffe und die Notwendigkeit für verbesserte Sicherheitsmaßnahmen. Password Spraying ist eine spezielle Form des Brute-Force-Angriffs, bei dem Hacker versuchen, mit wenigen, aber häufig verwendeten Passwörtern eine große Anzahl von Benutzerkonten zu kompromittieren. Anders als beim traditionellen Brute-Force, das meist mit vielen Passwörtern auf ein einzelnes Konto trifft und dadurch schnell erkannt werden kann, gehen Angreifer beim Password Spraying strategischer vor.
Sie verwenden eine Auswahl gängiger Passwörter gegen eine Vielzahl von Nutzern, wodurch sie Warnungen und Account-Sperrungen umgehen. Microsofts Threat Intelligence Team dokumentierte, dass die Angreifer vor allem schwach geschützte Workload-Identitäten in Cloud-Umgebungen ausnutzen, um Zugang zu containerisierten Ressourcen zu erhalten. Besonders alarmierend ist, dass über die Hälfte dieser Workload-Identitäten im letzten Jahr inaktiv waren. Diese inaktive Infrastruktur wird von Angreifern gezielt als Einfallstor missbraucht. Zentrales Werkzeug bei diesem Angriff war das Kommandozeilen-Tool AzureChecker.
Es ermöglicht das Herunterladen und Entschlüsseln von AES-verschlüsselten Daten, die eine Liste potenzieller Ziele für den Password Spraying Angriff enthielten. Die Hacker nutzten zudem eine Datei namens accounts.txt, in der Benutzername-Passwort-Kombinationen gesammelt waren, um ihre Angriffseffizienz zu steigern. Durch das Zusammenfügen dieser Informationen konnten die Angreifer erfolgreich Konten validieren, in die sie sich einloggen wollten. Besonders besorgniserregend ist, wie die Gruppe Storm-1977 nach dem Eindringen ihre Kontrolle ausbaute.
Sie nutzten ein Gastkonto, um eine kompromittierte Abonnement-Ressourcengruppe zu erstellen, innerhalb der mehr als 200 Container eingesetzt wurden. Diese Container dienten primär zu Krypto-Mining, einer illegalen Nutzung von Ressourcen zur Erzeugung von Kryptowährung. Damit verschärfte sich die Gefahr für betroffene Unternehmen deutlich, da die Angreifer nicht nur Zugang hatten, sondern auch eigene Dienste zur monetären Ausbeutung aufbauen konnten. Warum ist die Gefahr durch Password Spraying in der Cloud so groß? Die Cloud stellt heute das Rückgrat vieler IT-Infrastrukturen dar. Durch die Skalierbarkeit und Flexibilität sind Container und Workload-Identitäten weit verbreitet, allerdings weist gerade diese Technik Sicherheitslücken auf, die oft ungenügend adressiert werden.
Inaktive Konten und mangelhaft abgesicherte APIs bieten leichte Angriffsflächen. Experten weisen immer wieder darauf hin, dass herkömmliche Passwörter den heutigen Herausforderungen nicht mehr gerecht werden. Die Kombination aus schwachen Passwörtern, Passwortwiederverwendung und fehlender Multi-Faktor-Authentifizierung (MFA) öffnet Hackern Tür und Tor. Viele Unternehmen setzen zwar auf MFA, doch die Akzeptanz ist keineswegs flächendeckend oder konsequent genug implementiert worden. Die sicherheitstechnische Antwort auf solche Bedrohungen ist der Schritt in eine passwortlose Zukunft.
Technologieunternehmen und Sicherheitsanalysten empfehlen, Passwörter ganz abzuschaffen oder zumindest schrittweise durch sicherere Authentifizierungsmethoden wie Passkeys, biometrische Verfahren oder Hardware-Token zu ersetzen. Diese Methoden sind wesentlich widerstandsfähiger gegen automatisierte Angriffe und bieten zugleich eine benutzerfreundlichere Erfahrung. Chris Burton von Pentest People betont die Bedeutung von Passkeys als zukunftsweisende Lösung. Auch Lorri Janssen-Anessi von BlueVoyant sieht in der Passwortlosigkeit einen unerlässlichen Schritt angesichts der geringen Verbreitung von MFA und der menschlichen Schwächen in der Sicherheitskette. Brian Pontarelli, CEO von FusionAuth, weist darauf hin, dass trotz unterschiedlicher Kenntnisse und Ansichten unter Entwicklern Passkeys in der Praxis immer relevanter werden.
Neben der Umstellung auf neue Authentifizierungsmethoden ist es essenziell, Sicherheitspraktiken zu überdenken. Microsoft empfiehlt klare Maßnahmen zum Schutz cloudbasierter Ressourcen, darunter die Nutzung starker Authentifizierungsmechanismen für sensible Schnittstellen, insbesondere die Kubernetes API, auf die die Angreifer oft zugreifen. Auch sollte die Authentifizierungspflicht bei Kubelet-Endpoints nicht vernachlässigt werden, da ungefilterter Zugriff ein erhebliches Sicherheitsrisiko darstellt. Die richtige Rollenverteilung und das Prinzip der minimalen Rechtevergabe innerhalb von Kubernetes-Umgebungen helfen dabei, den Schaden bei einem erfolgreichen Angriff zu begrenzen. Fortlaufende Überwachung und granularer Schutz von Containern und Pods sind ebenfalls entscheidend, um unbefugte Aktivitäten frühzeitig zu erkennen.
Microsofts Defender for Cloud wurde mit erweiterten Funktionen ausgestattet, um genau solche Sicherheitslücken zu schließen und einen ganzheitlichen Schutz zu ermöglichen. Darüber hinaus ist das Problem der Passwortwiederverwendung ein zentraler Faktor, der Angreifer begünstigt. Kriminelle erwerben heutzutage leicht vermehrt gestohlene Zugangsdaten auf dunklen Marktplätzen im Dark Web, wobei einzelne Listen oft kostenlos weitergegeben werden. Die niedrigen Kosten und die hohe Verfügbarkeit von geknackten Passwörtern erhöhen den Erfolg von Credential Stuffing und Password Spraying Attacken deutlich. Muhammad Yahya Patel von Check Point Software erläutert, dass die Geschwindigkeit der Angriffe durch Unterstützung moderner Technologie rapide zunimmt.
GPU-beschleunigte Brute-Force-Technologien und KI-gestützte Automatisierung erlauben es Angreifern, binnen Sekunden oder Minuten tausende Passwörter auszuprobieren. Die Abwehrstrategien müssen dementsprechend dynamischer und adaptiver werden. Darüber hinaus führt die Tatsache, dass Nutzer immer noch schwache und leicht zu erratende Passwörter verwenden, zu einer gefährlichen Naivität im Umgang mit digitalen Identitäten. Sicherheitsbewusstsein und kontinuierliche Schulungen sind daher integrale Bestandteile eines umfassenden Schutzkonzeptes. Unternehmen und Organisationen sind gefordert, Sicherheitsrichtlinien zu etablieren, die Passwörter nicht nur komplexer machen, sondern letztlich durch robustere Alternativen ersetzen.
Abschließend ist klar, dass der jüngste Passwort-Spraying-Angriff auf Microsoft-Cloud-Mandanten nicht isoliert betrachtet werden darf. Er steht exemplarisch für eine ganze Reihe von Angriffen, die auf veraltete Sicherheitskonzepte setzen und mit der wachsenden Komplexität von Cloud-Technologien neue Angriffsvektoren eröffnen. Die Kombination aus technologischem Fortschritt bei Angreifern und unzureichenden Abwehrmaßnahmen seitens der Verteidiger ist eine gefährliche Gemengelage. Vor allem Bildungseinrichtungen, die als Ziel der jüngsten Attacken identifiziert wurden, müssen sich dringend modernisieren und fortschrittliche Sicherheitslösungen implementieren. Die Migration hin zu einem passwortlosen Zeitalter, strengere Authentifizierungsmethoden, verstärkte Zugriffskontrollen, kontinuierliche Überwachung und sensibilisierte Nutzer bilden den einzigen Weg, um langfristig Sicherheit gewährleisten zu können.
![Statistics for Hackers (2016) [video]](/images/AAA7150A-1072-4B52-92DB-1AD98DA6D9E8)
