Microsoft warnt: 81 Millionen Anmeldeversuche auf Azure in zwei Wochen

Fehlkonfigurierte Mail-Systeme ermöglichen Finanzbetrug und Datendiebstahl. Microsoft empfiehlt DMARC- und SPF-Härtung als Schutz.

Der Microsoft-Konzern hat am heutigen Sonntag eine dringende Sicherheitswarnung herausgegeben. Betroffen sind Unternehmen aller Branchen, deren E-Mail-Routing falsch eingerichtet ist. Die Angreifer verschicken gefälschte Nachrichten, die von legitimen Absendern zu stammen scheinen. Ziel sind Finanzbetrug und Datendiebstahl.

Die Schwachstelle im E-Mail-System

Das Problem liegt in der Konfiguration der Mail-Server. Wer seine MX-Einträge direkt auf Office 365 zeigt, ist nach Microsofts Erkenntnissen sicher. Anders sieht es bei Firmen mit abweichenden Einstellungen aus: Hier können Angreifer die Sicherheitsfilter umgehen. Die Attacken nehmen seit Mai 2025 stetig zu.

So schützen sich Unternehmen

Microsoft empfiehlt einen Dreiklang an Schutzmaßnahmen:

  • DMARC auf „Ablehnen“ setzen – das verhindert, dass gefälschte Absender durchkommen
  • SPF-Einträge auf „Hard Fail“ konfigurieren
  • Drittanbieter-Connectors sorgfältig prüfen und die „Direct Send“-Funktion deaktivieren, wenn sie nicht zwingend benötigt wird

Diese Schritte stellen sicher, dass Unbefugte nicht als vertrauenswürdige interne oder externe Absender auftreten können.

Pannenserie bei Microsoft

Anzeige

81 Millionen Anmeldeversuche in zwei Wochen – und die Zahl der Attacken hat sich verhundertfacht. Wer jetzt nicht handelt, riskiert Datenverlust und Erpressung. Dieser Report liefert die drei wichtigsten Sofortmaßnahmen: DMARC/SPF-Härtung, MFA-Richtlinien-Audit und Vishing-Abwehr. Jetzt kostenlosen Notfall-Report anfordern

Erst am Samstag hatte ein eigener Konfigurationsfehler in Microsofts Cloud-Infrastruktur für weltweite Störungen gesorgt. Eine fehlerhafte Routing-Änderung blockierte die Anmeldung bei Outlook und Copilot sowie bei Exchange Online, SharePoint und Teams. Die Dienste wurden nach einem Rollback schrittweise wiederhergestellt – ein Beleg für die Risiken vernetzter Cloud-Systeme.

81 Millionen Angriffsversuche in zwei Wochen

Doch nicht nur Routing-Fehler setzen Unternehmen unter Druck. Zwischen dem 12. und 26. Juni registrierten Sicherheitsexperten über 81 Millionen Anmeldeversuche auf die Azure Command Line Interface. Die massenhafte Credential-Spray-Attacke stammte von einem bestimmten IPv6-Bereich und führte zur Kompromittierung von 78 Microsoft-Konten in 64 Unternehmen.

Die Zahl solcher Angriffe hat sich in den letzten sechs Monaten verhundertfacht. Sie umgehen oft die Mehrfaktor-Authentifizierung – weil die entsprechenden Richtlinien falsch konfiguriert sind.

Wenn der Anruf vom „IT-Support“ kommt

Parallel setzen Angreifer auf eine perfide Masche: Vishing – Telefonbetrug mit System. Seit April 2026 zielt eine als O-UNC-066 bekannte Gruppe auf Gesundheitswesen, Luftfahrt und Automobilindustrie. Die Täter geben sich als IT-Support aus und locken Mitarbeiter auf gefälschte Microsoft-Entra-Seiten zur Passkey-Registrierung.

Dort nutzen sie ein spezielles Phishing-Kit, das sich in Echtzeit an die MFA-Anforderungen anpasst. Die Angreifer registrieren eigene FIDO2-Passkeys auf den Konten ihrer Opfer. Diese überleben selbst Passwort-Zurücksetzungen – und führen meist innerhalb von 72 Stunden zur Daten-Erpressung.

Anzeige

Vishing-Angreifer registrieren eigene FIDO2-Passkeys auf Ihren Konten – und selbst Passwort-Zurücksetzungen helfen nicht. Die O-UNC-066-Gruppe zielt gezielt auf Gesundheitswesen, Luftfahrt und Automobilindustrie. Dieser Leitfaden zeigt, wie Sie solche Angriffe erkennen und abwehren. Vishing-Abwehrleitfaden jetzt sichern

Neue Abwehr: E-Mail-Rückruf für externe Empfänger

Microsoft reagiert auf die Bedrohungslage mit einem neuen Feature für Exchange Online. Ab Mitte August können Administratoren per PowerShell den mandantenübergreifenden Nachrichtenrückruf aktivieren. Nutzer können dann E-Mails zurückrufen, die an externe Empfänger gesendet wurden – sofern diese den Absender auf eine Freigabeliste gesetzt haben. Die Funktion wird bis Mitte September ausgerollt.