[English]Ich stelle mal eine kurze Information, verbunden mit einer Frage an die Leserschaft hier ein. Es geht um den Aktivitätsverlauf bei euren Microsoft-Konten. Ein Blog-Leser hat mich informiert, dass bei ihm plötzlich Zugriffe von fremden IPs aufgetaucht seien – an meinem Konto kann ich nichts erkennen. Sein Konto scheint trotz 2FA gehackt worden zu sein.
Ein Leserhinweis auf eine Merkwürdigkeit
Blog-Leser Thomas B. hatte mich die Tage angemailt und gefragt: "Hast Du schon mal in Dein Microsoft Konto rein geschaut und unter Sicherheit nach Deinen Anmeldeaktivitäten gesehen, ob da welche dabei sind, die nicht von Dir sein können?" Er hatte durch Zufall im Microsoft Konto nachgesehen und nachfolgende Einträge vorgefunden:
Er hat zwei Microsoft-Konten, von denen ich eines mit der letzten Aktivität in obigem Screenshot eingestellt habe. Bei beiden Microsoft Konten fanden erfolgreiche Zugriffe von einer fremden IP aus Irland statt. In obigem Screenshot ist der Hinweis "Anmeldung blockiert (Konto kompromittiert)" zu sehen.
Meine Gegenprobe war unauffällig
Der Leser war sich sicher, dass da keine Zugriffe von ihm stattgefunden haben. Ich habe dann in einem meiner Microsoft-Konten nachgeschaut, aber da war der Verlauf unter "Letzte Aktivität" schlicht leer – das zeigt, wie selten ich dieses Konto nutze.
Als ich Tom dies mitteilte, meinte er "Ja, bei meiner Frau und einem weiteren Microsoft Konto ist da auch nix. Was mich wundert, wie diese erfolgreiche Anmeldung funktioniert haben soll, obwohl ich bei all meinen Konten MFA aktiviert habe. Das gibt mir zu denken." Und das ist auch ein Punkt, der mir zu denken gibt.
Was ist da los?
Mit Mehrfaktor-Authentifizierung darf eigentlich nur der Besitzer des Kontos, der auch Zugriff auf den Authenticator hat, erfolgreich auf das Microsoft Konto zugreifen können. Da Tom MVP war, halte ich einen "Irrtum" eher für ausgeschlossen.
Wie kann es dann sein, dass jemand von einer fremden IP-Adresse trotz MFA erfolgreich auf das Microsoft Konto zugreift – zumindest wird das so angezeigt?
Konto wurde offenbar gehackt
Ich hatte den obigen Text vorbereitet und Tom drüber lesen lassen. Im Nachgang schrieb er mir: "… hab gesehen, Microsoft hatte mir vor Wochen eine eMail auf mein outlook.com-Postfach geschickt, dass anscheinend versucht wurde, von meinen Postfach Massen-E-Mails zu versenden … dumm, das ich nie auf diese Umstände aufmerksam gemacht wurde … außer das ich jetzt zufällig mal in mein outlook.com Postfach geschaut habe …".
Weiterhin wurde das Microsoft-Konto des Lesers von nexusmods.com – wegen SPAM – mit einem Bann belegt. Der Leser schließt daraus, dass zwei seiner Microsoft-Konten gehackt oder kompromittiert wurden.
Ich hatte dem Leser dann geantwortet: "Hast Du irgend eine Erklärung, wie das passieren konnte – Du schriebst ja, dass 2FA aktiv war. Kann ein Token abgezogen worden sein? Andernfalls hieße es ja, dass das Konto von Microsoft her kompromittiert wurde." Als Antwort schrieb Tom:
Ja, Du hast wahrscheinlich Recht, es ist weitergehend, und es sind tiefere Sicherheitsmechanismen kompromittiert .. sonst kann ich mir das auch nicht vorstellen. .. mir ist es merkwürdig, dass es zwei unterschiedliche IPv6 aus dem Azure Subnetz sind, die dort aufgeführt sind .. ich habe bisher keine weiteren Auffälligkeiten feststellen können …
… und so ist es mir auch merkwürdig, dass es NexusMods ist, die auch auf Komprimtierung hindeuten, auch in einem RZ auf der Insel …
Es kommen auch keine prozessmässigen eMails, die man nutzen kann, wenn man geblockt wird, nutzen kann, die kommen nicht an, nur die eMails, die direkt über SMTP zwischen NexusMods Support und mir ausgetauscht werden, funktionieren … aber auch da hakt es, … ich habe jetzt mal ein paar NexusMods Benutzer angeschrieben, die ich auch über private eMails kontaktieren kann, mal sehen was kommt …
Alles sehr obskur, mir fällt nur ein "wenn Microsofts Infrastruktur kompromittiert wurde, könnte das erklärt werden". Das ist der Punkt, wo ich das Thema an die Leserschaft weiter geben möchte. Vermutlich schaut kaum jemand in den Verlauf der Aktivitäten eines Microsoft Kontos. Vielleicht mal prüfen und ggf. hier kommentieren, falls ungewöhnliche Aktivitäten auftreten oder falls es eine Erklärung für den obigen Sachverhalt gibt. Bei 2FA-Absicherung des Microsoft-Kontos muss ja was gravierendes passiert sein.
MVP: 2013 – 2016
Betr. "Alles sehr obskur, mir fällt nur ein "wenn Microsofts Infrastruktur kompromittiert wurde, könnte das erklärt werden". … Bei 2FA-Absicherung des Microsoft-Kontos muss ja was gravierendes passiert sein.":
(1) listet 17 Kategorien von Prozeduren mit denen sich Angreifer auf vielfältigste Weise Zugriff auf Credentials verschaffen. Irgendwas davon wird es gewesen sein. MFA zu umschiffen ist quasi täglich Brot für Black Hats. Insofern gehe ich nicht unbedingt von etwas gravierendem aus.
_
(1) https://attack.mitre.org/tactics/TA0006/
Da MS so schlau war lange Zeit keine Rate-Limits für 2FA/MFA zu nutzen konnte man ja literarisch Lotto mit den Tokens spielen:
https://www.oasis.security/blog/oasis-security-research-team-discovers-microsoft-azure-mfa-bypass
bei 1:1.000.000 bessere chancen als im realen Lotto
(Typischer MFA code ist 000000 bis 999999)
Addendum:
Was den Nutzer nicht entschuldigt, da er zumindest Passwort ebenso verschlampt haben muss. (Nutzername gehe ich immer davon aus, dass ein Hacker ihn weiß, ob man will oder nicht.)
Ich kann mich seit Tagen schon nicht vernünftig bei meinem MS-Konto einloggen. Manchmal geht es, nur Teilweise… Heißt, auf manche Bereiche in meinem Konto kann ich zugreifen, bei anderen Bereichen lädt es und lädt und lädt und es tut sich gar nichts. Im Bereich Sicherheit wollte ich angeregt von diesem Artikel einmal nachsehen, doch es war wieder dasd gleiche Spiel. Es lädt und lädt, versucht ein paar mal neu zu laden und dann kommt eine Meldung, dass eine Anmeldung zur Zeit nicht möglich sei. Keine Ahnung was bei MS da seit ein paar Tagen los ist. Eine spezielle Meldung, das es verdächtige Logins etc gab, seh ich bei mir nisoweit es geht nicht. Das ist noch so ein Puzzleteil, was mich gerade so extrem bei MS nervt…
Nix auffälliges! keine fremden Geräte oder Zugriffe…
allerdings hab ich ne Kollegin die mich um Hilfe bat da sie ihr Microsoft Account Konto PW vergessen hatte. Haben dann versucht über PW Vergessen Zugriff zu bekommen, aber jede Art der Authentifizierung dafür scheitert. Hinweis Dienst momentan nicht verfügbar. Hat jetzt den Support angeschrieben und wartet auf Antwort.
Ich hatte vor längerer Zeit in der Tat mal eine 2FA-Anfrage über die Authenticator-App von MS, die mein Microsoftkonto betraf, die nicht von mir kam (ich meine, dass diese aus dem chinesischen Raum kam). Aber das war nur ein einziges Mal.
Danach hatte ich sofort mein Kennwort geändert (war vorher bereits vom Edge generiert).
Naja der Default von MS ist ja so bei MFA, dass anstatt Kennwort der MFA eine Push Nachricht zum Genehmigen bekommt. Insofern hättest du dir die PW Änderung sparen können. Finde ich ein MS Konto, kann ich den user mit so Anfragen einfach mal nerven
iPhone mail account eingebunden
Save Browsing am iPhone an?
Nein, keinerlei Nutzung über iPhone, weder das Postfach, noch Browser …
Nutzt er evtl. sein MS-Konto, um sich bei einem anderen Internet-Dienst zu authentifizieren? (Z.B Reddit, Mistral und ChatGPT lassen das ja zu, wer weiß, wo da die Server stehen.)
Zufälligerweise ggf. ein iPhone / iPad mit im Spiel? Mir selbst ist es vor ca. 2 Monaten an meinem Account aufgefallen. Bis auf die Anmeldungen, die alle aus ein und dem selben Netz kommen, welches MS gehört, habe ich keine weiteren Auffälligkeiten feststellen können.
Ich habe zu dem Thema folgenden Thread gefunden:
https://www.reddit.com/r/Outlook/comments/1mam3sj/log_in_from_an_different_location_that_belongs_to/
Ich vermute momentan, dass es sich um Aktivitäten aus den Microsoft Backend Services handelt, z.B. wenn im Hintergrund / beim Aufrufen der Outlook App o.Ä. auf dem iPhone gesynct wird.
Ich habe ein paar der IPs auch mal über ein Lookup-Tool gesucht und eine Abuse-Mail an MS geschickt, allerdings keine Antwort bekommen.
Bei "irgendwelchen seltsamen unbekannten" IPs kann es sich auch um Proxy-Lösungen einiger Browser oder Enterprise-Lösungen (Cisco Umbrella, Trellix SkyHigh, …) handeln – kann dies im konkreten Fall ausgeschlossen werden?
Hab gerade die erfolgreichen Logins der letzten 7 Tage durchgesehen, bei keinem unserer Mitarbeiter irgendwelche offenkundigen Auffälligkeiten (wenn man mal von den teilweise seltsamen GEO-Zuordnungen der IPs absieht – aber das dürfte schlicht an fehlerhaften IP-GEO-Tabellen liegen).
Im Übrigen lässt sich auch MFA ggf. umgehen. Ohne Kenntnis, welche Art von MFA hier genutzt wurde, lässt sich dazu wenig sagen.
In meinem Verlauf ist ebenfalls ein IPv6-Aufruf aus Kanada vorhanden. Ich kann mich erinnern, dass ich zum Zeitpunkt dieses Aufrufs meine outlook.com-Anmeldedaten in Apple-Mail auf meinen iPhone erneut bestätigen musste.
Wenn ich die IPv6 aus meinem Verlauf oder die IPv6 aus dem Screenshot oben bei geolocation.com eingebe
https://www.geolocation.com/de/index?ip=2a01%3A111%3Af402%3Af0b5%3A%3Af157#ipresult
dann wird für diese IPs jeweils Microsoft selbst als ISP angezeigt. Das Ganze hört sich nach einer internen Geschichte auf Seiten von Microsoft an und nicht nach einem kompromittiertem Konto.
Danke für das Feedback. Ich schicke dem Betroffenen mal eine Mail – wenn dein Konto noch sauber ist, hast Du möglicherweise Glück gehabt, oder es ist etwas anderes. Beim Betroffenen ist es ja so, dass ihm ein verbundenes NexusMod-Konto wegen SPAM gesperrt wurde. Ich werde die Geschichte mal weiter beobachten.
Das Microsoft Account wird weder in iPhone noch in einem iPAD genutzt, es wird lediglich im Zusammenhang mit OneDrive verwendet, das allerdings im iPhone/iPAD. Weswegen es auch grundsätzlich völlig unkritisch ist, weil da nur Fotos auf dem OneDrive liegen und sonst auch nix über Outlook oder so genutzt wird. Deshalb ist es wohl auch nicht weiter interessant. Dennoch aufflällig, die IPv6 Adressen aus Azure, die ohne Anwendung und ohne GerätePlattform auftauchen … siehe ScreenShot
Aber das Muster passt ….
https://learn.microsoft.com/en-us/answers/questions/5495193/microsoft-sign-in-from-ipv6-associated-with-micros
Hallo Zusammen
Ich kann dies bestätigen.
Login am 26.08.2025 10:44 AM aus Ireland (2a01:111:f402:f0b1::f174)…
Gleich mal Passwort und MFA ändern.
Ich habe MFA aktiviert, jedoch nur mit Code aus der Authenticator App.
Dieser zeigt "Last used": 14.6.2025
Bin gespannt, was aus der Geschichte wird.
Wir sind nicht die einzigen:
https://learn.microsoft.com/en-us/answers/questions/5495193/microsoft-sign-in-from-ipv6-associated-with-micros
Im Verdacht steht aktuell die OneDrive App.
Ja, das Muster passt …
https://learn.microsoft.com/en-us/answers/questions/5495193/microsoft-sign-in-from-ipv6-associated-with-micros
Ich vermute einen Dienst, der nicht mit MFA abgesichert ist, wie ein E-Mail-Client mit App-Passwort. Das hatte ich seinerzeit, um per POP3 auf mein Postfach zuzugreifen, ist aber schon eine Weile her.
Pop/IMAP/SMTP sollte auf so gut wie keinem Tenant mehr laufen. Den Zugang hat Microsoft eigentlich schon länger als "nicht mehr existent" deklariert.
Ich weiß, viele Scanner usw. funktionieren nur über normales SMTP aber da gibt es alternativen, die dann eine Umsetzung Hausintern von SMTP auf Microsoft 365 Graph API machen…
"Isch 'abe gar keine Microsoft Konto, Signorina"
Fällt mir so ein. Düstere Zukunft. Da kommt noch etwas auf uns zu, aber 100% Sicherheit gibt es nicht.
Evtl. werden VPN Dienste genutzt und es sind in Wirklichkeit die eigenen Logins?
Ansonsten, bedingten Zugriff aktivieren und Logins aus dem Ausland grundsätzlich blockieren, egal ob bei einfachem Login oder per MFA
Das funktioniert ja ganz toll bei Microsoft. Ich habe 3 Konten die per Outlook am Mac Mails abrufen, eines davon ruft auch per iphone mails ab. Ich habe M365, ich verwende OneDrive von einem Konto, bin mit einem Browser für Edge Sync eingeloggt.
Und das Ergebnis von dem ganzen auf den 3 Accounts fand laut Microsoft MS Sicherheitsdashboard nie ein Login statt. Nicht mal jetzt als ich in einem privaten Browser Fenster zur Kontrolle einloggte. Ich sehe aber so App Aktivitäten im Konto aber nicht von welcher IP aus die stattfinden.
Meinen die das wirklich ernst bei Microsoft, wann passiert ein Login in der Account? oder werden jene, die nicht per PW sondern direkt von der MFA App genehmigt werden gleich gar nicht gezählt?
Bin ich jetzt eigentlich ein Kandidat, dass mir die Accounts wegen Inaktivität gesperrt werden?
Wozu dieses Sicherheitsdashboard wenn es exakt nichts anzeigt?
Das geht tatsächlich schon seit März so. Alle 1½-4 Stunden ein Login-Versuch bis es geklappt hat. Von Usbekistan, Ecudor, Russland, China etc. kamen aber auch viele Anfragen von deutschen Standorten.
Wenn MS dazu benachrichtigt wird, wird die Aktitvitätsanzeige im Konto deaktiviert und Problem gelöst.
Echt Wahnsinn.
Das war bei mir Monatelang zuvor auch so. Nach dem ich den Link zum Benachrichtigen des erfolglosen Anmeldeversuchs ausgelöst hatte, erhielt ich die Meldung, sinngemäß, das ich nichts tun muss, da der Anmeldeversuch erfolglos geblieben ist. Das ganze hörte dann langsam im Juni auf, bis im Juli und Ende August diese beiden erfolgreichen Anmeldungen protokolliert wurden.
Alles nach diesem Muster und IPv6 Adresse …
https://learn.microsoft.com/en-us/answers/questions/5495193/microsoft-sign-in-from-ipv6-associated-with-micros
Was ist ein Microsoft-Konto? Ich bin Microsoft-Windows-User seit mehr als 20 Jahren und habe kein "Microsoft-Konto".
Ist Office365 gemeint? Das ist bekannt für Kompromittierungen trotz MFA (Authenticator App).
Microsoft und Sicherheit sind antonym. Das passt nicht zusammen. Noch nie und wird es nie. Drei Grundsatzprobleme:
1. Microsofts Programmierer und Manager denken nicht "Sicherheit". Die internen Sicherheitsskandale der vergangenen 2 Jahre beweisen das.
2. Microsofts Produkte bieten default mannigfaltige Möglichkeiten der Kompromittierung.
3. Microsofts Produkte lassen sich nur umständlich und wenig transaperent für Admins absichern (im Rahmen geringer Möglichkeiten – siehe 1).
Gerade nachgeschaut.
Ebenfalls eine erfolgreiche Anmeldung am 22.08.2025 um 07:05.
Ebenfalls eine IPv6 Adresse – ebenfalls Microsoft-UK gehörend.
Ermittelter Standort: Niederlande.
Ich hab brav MFA mit Challenge Response aktiv und hatte in dem Zeitraum keinen Prompt. (Nutze das Konto nur äußerst selten)
Wundern tut es mich nicht, wer weiß, was Microsoft noch alles an Servern und Clouds in Drittländern warten lässt.