In den vergangenen Wochen wurde eine Welle von Brute-Force-Angriffen auf die Microsoft-Cloud festgestellt. Ziel der Angreifer war es, durch systematisches Ausprobieren von Zugangsdaten Zugriff auf Microsoft 365-Konten zu erlangen. Administratoren wird dringend empfohlen, ihre Anmeldeprotokolle auf verdächtige Aktivitäten zu prüfen.
Wie das Sicherheitsteam von Speartip berichtet, stammen die meisten dieser Angriffe aus Ländern wie Brasilien, Argentinien, der Türkei und Usbekistan – Regionen, die sonst seltener in diesem Zusammenhang auffallen. Charakteristisch für diese Angriffe ist der Einsatz des User Agents „fasthttp“, der eine gezielte Suche in den Protokollen erleichtert. Um dies zu überprüfen, können sich Administratoren im Azure-Portal anmelden, in den Bereich der Anmeldeprotokolle in Microsoft Entra ID wechseln und dort nach dem Eintrag „fasthttp“ filtern. Alternativ bietet Speartip ein PowerShell-Skript an, das bei der Identifizierung des User Agents hilft.
Sollten alle Log-in-Versuche fehlgeschlagen sein, besteht zunächst kein akuter Handlungsbedarf. Dennoch empfiehlt es sich, die eingesetzten Sicherheitsmaßnahmen zu überprüfen und gegebenenfalls zu verstärken. Wird jedoch ein erfolgreicher Log-in mit dem User Agent „fasthttp“ festgestellt, könnte dies ein Hinweis auf eine kompromittierte Umgebung sein und erfordert sofortige Maßnahmen.
Sollten Sie Unterstützung benötigen, wenden Sie sich gerne an uns.
E-Mail:
Schreiben Sie eine E-Mail an support@cosus.de.
Telefon:
Kontaktieren Sie unseren technischen Support unter folgender Telefonnummer:
+49 7724 9386 998