In diesem Beitrag habe ich einen Angriff auf einen Account eines Schülers beschrieben. Bei den Accounts für die Schüler/-innen können wir kein MFA einsetzen, was die Gefahr eines erfolgreichen Angriffs natürlich deutlich erhöht.

Nun war es soweit… wie im ersten Teil schon beschrieben, kann die Conditional Access Policy, die nur Anmeldungen aus der DACH Region (Deutschland, Österreich, Schweiz) zulässt, nicht alle Angriffe abwehren. Gestern Nacht gab es zwei erfolgreiche Anmeldungen für den Account aus Deutschland. Da die beiden Anmeldungen aus zwei verschiedenen Standorten innerhalb weniger Sekunden stattfanden, handelte es sich wohl um gekaperte Computer aus einem Botnetz.

Beeindruckend ist aber die Reaktion von Microsoft Defender. Zuerst wurde der Angriff dokumentiert (Password spray), dann der ungewöhnliche Anmeldeversuch (Unfamiliar sign-in properties) und am Schluss die erfolgreiche Anmeldung (Authentication with compromised credentials).

Bei diesem letzten Schritt wurde das Konto deaktiviert, der Tag „Attack Disruption“ gesetzt und der „Investigation state“ auf „Queued“ gesetzt.

Das Konto scheint irgendwie auf eine Liste gelandet zu sein, so dass es immer wieder angegriffen wird. Einfach nochmals das Passwort zurücksetzen scheint in diesem Fall nicht zielführend zu sein. Daher habe ich mich entschieden, den Accountnamen anzupassen, was natürlich auch Auswirkungen auf andere Dienste hat.