Sicherheitsforscher und Behörden schlagen Alarm: Die Angriffsmethoden auf hybride IT-Umgebungen werden immer raffinierter. Am heutigen Samstag veröffentlichte die Sicherheitsfirma Hard2bit ein technisches Handbuch, das detailliert zeigt, wie Angreifer von kompromittierten lokalen Netzwerken in die Microsoft-Cloud vordringen.
Der mehrstufige Angriffspfad: Vom Bürorechner in die Cloud
Das neu veröffentlichte Playbook von Hard2bit beschreibt eine Angriffskette, die Angreifer immer wieder nutzen, um sich dauerhaften Zugang zu hybriden Umgebungen zu verschaffen. Der Einstieg erfolgt meist über ein kompromittiertes Benutzerkonto. Von dort aus führen die Hacker sogenannte Kerberoasting-Angriffe durch – eine Technik, mit der sie Passwörter von Dienstkonten erbeuten.
Angesichts der zunehmenden Komplexität von Angriffspfaden in hybriden IT-Umgebungen wird ein proaktiver Schutz der gesamten Infrastruktur zur unternehmerischen Pflicht. Das Gratis-E-Book enthüllt, wie Sie Sicherheitslücken effizient schließen und gleichzeitig neue gesetzliche Anforderungen an die IT-Sicherheit erfüllen. IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen
Im nächsten Schritt missbrauchen die Angreifer die Active Directory-Zertifikatsdienste (AD CS). Dabei nutzen sie gezielt Sicherheitslücken der Kategorien ESC1 oder ESC8 aus. Das Ziel: ein „Golden Ticket“ – ein gefälschtes Authentifizierungstoken, das ihnen nahezu vollständige Kontrolle über das lokale Netzwerk verschafft. Die letzte Phase ist der entscheidende Sprung: Mit diesen erweiterten Rechten bewegen sich die Angreifer seitlich in Microsoft Entra ID und gefährden damit die gesamte Cloud-Infrastruktur des Unternehmens.
Um solche Angriffe zu erkennen, empfehlen die Forscher die Überwachung bestimmter Ereignis-IDs, darunter 4769, 4624 und der Bereich von 4886 bis 4898. Ein wichtiger Schutzmechanismus: das Zurücksetzen des KRBTGT-Kontopassworts, um gefälschte Tickets ungültig zu machen.
Kritische Netlogon-Lücke: Angreifer nutzen Sicherheitslücke aktiv aus
Die Dringlichkeit, hybride Umgebungen abzusichern, wird durch eine aktuell ausgenutzte Sicherheitslücke in Windows Netlogon unterstrichen. Der Fehler mit der Kennung CVE-2026-41089 erreicht einen kritischen CVSS-Wert von 9,8 und ermöglicht es nicht authentifizierten Angreifern, SYSTEM-Zugriff auf Windows Server-Domänencontroller zu erlangen.
Microsoft hatte zwar bereits im Mai ein Sicherheitsupdate veröffentlicht, doch mehrere Sicherheitsorganisationen bestätigen, dass ungepatchte Systeme derzeit gezielt angegriffen werden. Das belgische Zentrum für Cybersicherheit warnte bereits am 29. Mai vor aktiven Angriffen. Sicherheitsexperten betonen: Domänencontroller stehen im Fokus der Angreifer. Sie raten Unternehmen dringend, das Mai-Update vor dem nächsten Patch-Zyklus am 9. Juni zu installieren.
Neue Phishing-Plattform zielt auf Cloud-Identitäten ab
Doch nicht nur auf Infrastrukturebene droht Gefahr. Das FBI warnte am Freitag vor einer neuen Phishing-as-a-Service-Plattform namens „Kali365“. Diese Plattform zielt speziell auf Microsoft 365-Konten ab, indem sie den legitimen Microsoft-Gerätecode-Fluss missbraucht.
Mit Kali365 können Angreifer OAuth-Token stehlen und sich so dauerhaften Zugang zu Cloud-Konten verschaffen – und das ohne Passwort oder Multi-Faktor-Authentifizierung (MFA). Sicherheitsspezialisten empfehlen Unternehmen, den Gerätecode-Fluss entweder einzuschränken oder ganz zu blockieren, wenn er für den Geschäftsbetrieb nicht zwingend erforderlich ist.
Da neue Plattformen wie Kali365 gezielt Microsoft-Identitäten angreifen, benötigen Unternehmen eine robuste Verteidigungsstrategie gegen moderne Täuschungsmanöver. Dieser kostenlose Leitfaden zeigt in vier Schritten, wie Sie Phishing-Angriffe und psychologische Manipulation effektiv unterbinden. In 4 Schritten zum sicheren Unternehmen: So stoppen Sie Phishing-Angriffe bevor sie entstehen
Der schwierige Weg in die Cloud-Native-Identität
Der Umstieg von veralteten Active-Directory-Systemen auf cloudnative Lösungen birgt eigene Risiken. Aktuelle Branchenempfehlungen schlagen einen 90-Tage-Plan für die Migration zu Entra ID vor. Dazu gehört eine gründliche Inventur der Active-Directory-Umgebung mit Tools wie PowerShell und IdFix.
Eine wichtige Frist rückt näher: Versionen von Entra Connect, die älter als 2.5.79.0 sind, werden ab dem 30. September 2026 keine Daten mehr synchronisieren. Experten raten Administratoren, ihre Anwendungsabhängigkeiten zu prüfen und Gruppenrichtlinienobjekte zu Intune zu migrieren.
Kostenlose Diagnosetools wie Purple Knight und Forest Druid helfen dabei, Identitätsrisiken zu bewerten. Aktuelle Labortests, die mit diesen Tools über 180 Sicherheitsindikatoren scannten, ergaben eine Sicherheitsbewertung von nur 81 Prozent – ein Beleg dafür, dass selbst überwachte Umgebungen oft zahlreiche Fehlkonfigurationen aufweisen. Zusätzliche Schutzfunktionen wie Microsoft Entra Smart Lockout verhindern automatisierte Passwortangriffe, indem sie Konten nach einer bestimmten Anzahl fehlgeschlagener Versuche sperren – in der Regel zehn bei öffentlichen Mandanten und drei bei US-Regierungsumgebungen.
