Nach Einbrüchen in Exchange-Online-Systeme haben sich Angreifer mit Hilfe präparierter OAuth-Apps dort regelrecht eingenistet und sich dauerhaften Zugriff verschafft. Die kompromittierten Exchange-Systeme missbrauchten die Cyberkriminellen zum Versand von Spam-Mails, die den Anschein erweckten, sie kämen von der Domain des Cloud-Instanz-Mieters. Auf diese Weise wurde versucht, ein betrügerisches Gewinnspiel großflächig zu bewerben und arglose Empfänger in kostenpflichtige Abos zu locken.
Die besagten Einbrüche gelangen den Cyberkriminellen durch sogenanntes Credential Stuffing – hierbei werden bekannte Passwörter, z.B. aus früheren Datenlecks, ausprobiert. Microsoft weist darauf hin: dies funktionierte vor allem dort, wo Administratoren keine Multifaktor-Authentifizierung aktiviert hatten.
Empfehlung
Microsoft empfiehlt, für sämtliche kompromittierte Administratorzugänge, die durch Credential Stuffing zugänglich waren, die Multifaktor-Autentifizierung zu aktivieren. Zudem sollten Unternehmen und Organisationen durch bedingte Zugangsrichtlinien (Conditional Access Policies) die Zugriffsmöglichkeiten auf bestimmte IP-Bereiche und Gerätevoraussetzungen begrenzen.
