Fremde Anmeldungen an Microsoft Konten trotz 2FA – Teil 2

[English]Es ist ein kruder Sachverhalt, auf den ich mir noch keinen endgültigen Reim machen kann. Seit einigen Wochen finden Zugriffe auf Microsoft Konten durch Dritte statt, die im Aktivitätsverlauf zu sehen ist. Dabei haben die Nutzer die Zweifaktor-Authentifizierung für die Konten aktiviert. Wie kann das sein? Und noch kruder: Leser, die ich gebeten hatte, den Aktivitätsverlauf des Kontos einzusehen finden dort nichts (geht auch mir so).

Rückblick auf ein gehacktes Microsoft-Konto

Blog-Leser Tom hatte mich ja vor einigen Tagen auf eine Merkwürdigkeit im Zusammenhang mit seinem Microsoft Konto hingewiesen. Er fand auf zwei seiner Microsoft Konten Zugriffe durch unbekannte Dritte.

Obiger Screenshot zeigt diese Zugriffe für ein Microsoft Konto. Bei beiden Microsoft Konten fanden erfolgreiche Zugriffe von einer fremden IP aus Irland statt. In obigem Screenshot ist der Hinweis "Anmeldung blockiert (Konto kompromittiert)" zu sehen. Am Ende des Tages stellte sich heraus, dass sein Microsoft Konto kompromittiert und wegen SPAM gesperrt war – ich hatte im Artikel Microsoft Konto gehackt? Seht ihr fremde Aktivitäten im Verlauf? berichtet.

Weitere Fälle bekannt

Kurz nachdem ich den oben verlinkten Blog-Beitrag online gestellt hatte, meldeten sich mehrere Nutzer mit weiteren Informationen.

Fall 1 auf reddit.com

Blog-Leser Lukas meldete sich mit diesem Kommentar und verwies auf den reddit.com-Thread Log in from an different location that belongs to MICROSOFT-CORP-MSN-AS-BLOCK. Dort beschreibt ein Nutzer, dass er  am 25. Juli ich eine erfolgreiche Anmeldung auf seinem Microsoft Konto bemerkt habe. Auch hier gilt, dass der Nutzer 2FA aktiviert hatte und (ähnlich wie in obigem Fall) auch keine Benachrichtigung über die fremde Anmeldung durch Microsoft erhalten hat.

In diesem Fall ist mit meinem Konto nichts passiert, und der Nutzer hat diesen Zugriff erst später (August 2025) durch Zufall bemerkt. Als er die seltsame IP-Adresse, von der der Zugriff erfolgte, überprüfte, stellte sich heraus, dass sie zu MICROSOFT-CORP-MSN-AS-BLOCK gehört und sich in Kanada befindet.

Der Nutzer fragte: "Wisst ihr, was das sein könnte? Verbindet sich etwas von Microsoft mit meinem Konto?" Für den Betroffenen war es wirklich stressig, er hat sein Passwort geändert und zusätzlich zu seinen anderen 2FA-Optionen den Microsoft Authenticator eingerichtet. Im Thread gab es dann Bestätigungen, dass dies kein Einzelfall ist.

Fall 2 im Microsoft Q&A-Forum

Im Microsoft-Q&A-Forum gibt es den Thread Microsoft Authenticator- Successful login from unknown account vom 27. Juli 2025. Der Inhaber eines Microsoft Kontos erhielt am 26. Juli 2025 eine Menge Anfragen des Authenticators für Zugriffe, die er aber abgelehnt habe.

Dann habe er den Authentifizierer aufgerufen, um die letzten Aktivitäten zu überprüfen. Dort musste der Benutzer feststellen, dass zwei Tage vorher eine erfolgreiche Anmeldung an seinem Benutzerkonto von Microsoft von einer IP-Adresse in Des Moines, Iowa (unbekanntes Gerät/Betriebssystem) stattgefunden hatte. Auch hier hatte der Betroffene keine Benachrichtigung über diese Anmeldung und keine verdächtigen Aktivitäten im Konto erhalten.

Der Nutzer hat die Aktivität als verdächtig markiert und sein Passwort geändert. Auch hier versteht der Betroffene nicht, warum er nicht benachrichtigt wurde. Als er die IP-Adresse 2a01:111:f402:f139::f148 im Internet recherchiert hat, sah es so aus, als ob diese einem Microsoft-Rechenzentrum zugewiesen wurde. Der Nutzer fragt, ob jemand eine Idee habe, was passiert sein könnte und/oder was ich jetzt tun sollte, um sein Konto zu schützen? Im Thread haben sich weitere Betroffene gemeldet, die ebenfalls Kontenzugriffe trotz 2FA von Dritten bemerkten. Alle IP-Adressen scheinen aus dem Microsoft-Netzwerk zu kommen und die Nutzer werden nicht über die Zugriffe informiert.

Fall 3 im Microsoft Q&A-Forum

Ein weiterer Fall wird im Microsoft Q&A-Forum im Thread Someone else successfully login without going through authenticator app!!?? vom 27. Juli 2025 beschrieben. Der Betroffene musste feststellen, dass sich am 26. Juli 2025 jemand aus einem anderen Land erfolgreich an seinem Konto angemeldet hat, ohne die Authentifizierungs-App verwenden zu müssen.

Der im Thread gezeigte Screenshot ist auf Chinesisch und bedeutet im Wesentlichen: Gerät unbekannt, Browser unbekannt, Anmeldung erfolgreich, Land ist die USA. Der Nutzer schreibt, dass er nicht einmal eine Nachricht erhalten habe, dass jemand versucht hat, sich anzumelden, und es gab auch überhaupt keine Warnung. Der Betroffene (wohl auch China) fragt: Ist das überhaupt möglich? Kann mir bitte jemand helfen? Auch hier bestätigen weitere Nutzer diese Beobachtung bei den eigenen Konten.

Vermutung: Outlook-App ist beteiligt

Im Microsoft Q&A-Foren-Thread Someone else successfully login without going through authenticator app!!?? schreibt ein Nutzer, das auf das Problem der offenbar erfolgreichen IPv6-Authentifizierungen für einige Benutzer von Microsoft Konten aus verschiedenen Microsoft Rechenzentren antworten wolle.

Der Poster schreibt, dass es vielen Menschen zu passieren scheint, dass solche Aktivitäten zu sehen seien. Er habe dieses Problem etwa dreimal gehabt, und alle diese IPv6-Adressen gehören mutmaßlich Microsoft, denn sie werden alle zu MICROSOFT-CORP-MSN-AS-BLOCK aufgelöst.

Der Betroffene hat festgestellt, dass dies normalerweise passiert, wenn er die mobile App von Outlook oder OneDrive öffnet (ob es Android oder iOS ist nicht angegeben). Der Betroffene hat auf den Forenbeitrag Why Datacenter IPs are shown when a user logs in verlinkt, wo dieses Problem diskutiert wird. Im Thread wird die imho unbefriedigende Antwort gegeben, dass es "Aktivitäten einer Smartphone-App" (für OneDrive oder Outlook) seien, die mitunter umständlich geroutet und als "unbekannter Zugriff" aufgeführt würden.

In den Leserrückmeldungen zum Beitrag Microsoft Konto gehackt? Seht ihr fremde Aktivitäten im Verlauf? hatte sich ein Nutzer mit diesem Kommentar gemeldet. Er fand in seinem Verlauf ebenfalls einen IPv6-Aufruf aus Kanada. Er konnte sich erinnern, dass er zum Zeitpunkt dieses Aufrufs seine outlook.com-Anmeldedaten in Apple-Mail auf seinem iPhone erneut bestätigen musste.

Irgendwie ist das alles inkonsistent – im ersten Fall, den ich im Beitrag Microsoft Konto gehackt? Seht ihr fremde Aktivitäten im Verlauf? behandelt habe, wurde das Konto von Thomas B. wegen SPAM-Aktivitäten blockiert. Thomas nutzt aber weder ein iPhone noch ein iPad. Da ist also etwas unschönes passiert.

Der Leser verwies auf den Forenthread Microsoft sign in from IPv6 associated with Microsoft bei Microsoft Q&A, wo das Gleiche wie oben skizziert beschrieben wird. Das wäre in der obigen Nomenklatur Fall 4, und der betreffende Thread hat bereits vier Seiten mit Antworten von Betroffenen.

Es wird vermutet, dass die Logins von Microsoft erfolgen, die offenbar kein 2FA zum Zugriff benötigen. Möglicherweise für Porno-Scans, oder für den CoPiloten oder für Wartungszwecke. Das Verhalten wird bereits seit 2020 beobachtet, ohne dass es eine schlüssige Erklärung Microsofts gibt.

Nicht nachvollziehbar ist auch, dass manche Nutzer einige Aktivitäten im Verlauf schlicht nicht sehen. Mir schaut es so aus, dass aus der Microsoft Infrastruktur Zugriffe ohne 2FA stattfinden, die u.U. nicht protokolliert werden und keine 2FA benötigen. Und wenn da etwas passiert, hat der Kontenbesitzer kaum eine Chance, etwas dagegen zu tun. Wenn ich defätistisch wäre, täte ich behaupten: Microsoft hat langsam die Kontrolle über sein Cloud-Zeugs verloren. Aber vielleicht gibt es doch mal eine Erklärung und es wird auch offen gelegt, warum der erste von mir aufgegriffene Fall von Thomas B. trotz 2FA zu einem kompromittierten Konto führte.

Artikelreihe:
Microsoft Konto gehackt? Seht ihr fremde Aktivitäten im Verlauf?
Fremde Anmeldungen an Microsoft Konten trotz 2FA – Teil 2