Password Spraying in AD und Entra ID: Erkennung

Was ist Password Spraying?

Password Spraying ist eine Brute-Force-Technik, bei der ein einzelnes Passwort oder nur eine sehr kleine Liste häufiger Passwörter gegen viele Konten getestet wird, anstatt viele Passwörter gegen ein einzelnes Konto auszuprobieren. MITRE klassifiziert die Technik als T1110.003 unter Brute Force.

Dieses Betriebsmodell ist entscheidend, weil es die offensichtlichen Nebenwirkungen klassischer Brute-Force-Angriffe vermeiden soll. Statt ein einzelnes Konto nach wiederholten Fehlversuchen schnell zu sperren, verteilt der Angreifer wenige Passwortkandidaten über viele Identitäten und wartet darauf, die schwächste zu treffen.

Der Scope dieses Artikels ist Hybrid Identity: Active Directory, Microsoft Entra ID und die Cloud- oder Remotezugriffspfade, die weiterhin passwortbasierte Authentifizierung akzeptieren. Password Spraying ist nicht nur ein On-Premises-Problem. CISA und Microsoft beschreiben die Technik beide als häufiges Initial-Access-Muster gegen föderierte, cloudbasierte und internetexponierte Identitätsdienste.

Wie Password Spraying funktioniert

MITREs Definition ist der richtige Ausgangspunkt: Angreifer verwenden ein einzelnes oder sehr kleines Set häufig genutzter Passwörter gegen viele verschiedene Konten, um Konto-Sperren zu vermeiden, die normalerweise auftreten würden, wenn ein einzelnes Konto wiederholt bruteforciert wird.

In der Praxis erstellen Angreifer zuerst eine Zielliste und sprühen danach die schwachen Passwortkandidaten darüber.

Typische Quellen für Zielkonten sind:

öffentlich sichtbare Benutzernamen oder E-Mail-Adressen
Namenskonventionen, abgeleitet aus LinkedIn, Unternehmenswebseiten oder kompromittierten Adressbüchern
Global Address Lists, nachdem ein erstes Cloud-Konto kompromittiert wurde
synchronisierte Hybrid-Identitäten, die sowohl in AD als auch in Microsoft Entra ID existieren

Typische Zielpfade sind:

Microsoft-365- und Entra-Anmeldeendpunkte
föderierte Authentifizierungsflüsse
VPN-Portale
Outlook Web oder andere nach außen exponierte Mail-Oberflächen
RDP oder andere veröffentlichte Remotezugriffs-Workflows
LDAP, Kerberos, SMB oder andere interne Protokolle, sobald der Angreifer bereits im Netzwerk ist

MITRE weist zusätzlich auf eine wichtige Detection-Nuance hin: Angreifer können LDAP- und Kerberos-Authentifizierungsversuche bevorzugen, weil diese mitunter weniger sichtbar sind als fehlgeschlagene SMB-Logons, die häufig Event 4625 auslösen.

Warum Password Spraying noch immer funktioniert

Password Spraying ist wirksam, weil es Skalierung und Vorhersagbarkeit ausnutzt, nicht nur eine einzelne technische Schwäche.

Schwache Passwörter existieren weiterhin in großer Zahl

Die Dokumentation zu Microsoft Entra Password Protection ist hier eindeutig: Microsoft blockiert schwache Passwörter auf Basis realer Spray-Telemetrie, weil schwache Passwörter und ihre Varianten operativ weiterhin häufig genug sind, um relevant zu bleiben.

Passwort-only-Pfade sind noch immer exponiert

Die CISA-Brute-Force-Hinweise und Microsofts jüngere Cloud-Intrusion-Analysen zeigen dieselbe Schwachstelle: Wenn ein Ziel weiterhin Single-Factor-Authentifizierung auf Passwortbasis exponiert, reicht ein einziger Erfolg aus, um Discovery, Persistenz oder laterale Bewegung zu starten.

Legacy- und föderierte Pfade vergrößern die Angriffsfläche

CISA warnt ausdrücklich davor, dass Password-Spray-Kampagnen häufig SSO- und Cloud-Anwendungen mit föderierter Authentifizierung angreifen. Microsofts jüngere Berichte zeigen Password Spraying ebenfalls als ersten Schritt vor weitergehender Entra-Tenant-Reconnaissance und Persistenzversuchen.

Low-and-slow-Taktik vermeidet laute Sperren

Das Ziel von Spraying ist nicht Geschwindigkeit gegen ein einzelnes Konto. Das Ziel ist Zuverlässigkeit gegen viele Konten, ohne per-Account-Schwellen zu schnell zu überschreiten.

Voraussetzungen für einen erfolgreichen Password-Spraying-Angriff

Password Spraying funktioniert meist dann, wenn mehrere Schwächen gleichzeitig vorhanden sind.

1. Der Angreifer kann gültige Benutzernamen enumerieren

Eine Spray-Kampagne ist deutlich einfacher, wenn Benutzernamen vorhersagbaren Mustern folgen oder von außen leicht ermittelbar sind. Öffentliche E-Mail-Formate, vorhersehbare Admin-Aliase und wiederverwendete Cloud/On-Prem-Namen helfen dabei.

2. Passwortbasierte Authentifizierung ist noch exponiert

Wenn der Tenant oder die Umgebung wertvolle Pfade weiterhin passwortbasiert erreichbar macht, hat der Angreifer etwas zum Besprühen. Dazu gehören Cloud-Sign-ins, VPN, Remote Access, Federation und interne Authentifizierungsoberflächen.

3. Die Passwortbasis ist schwach genug, dass wenige Kandidaten ausreichen

Das ist genau das Kontrollproblem, das AD-Passwortsicherheit: Fehlkonfigurationen die Angreifer Lieben behandelt. Ein Spray funktioniert, weil einige Benutzer weiterhin schwache, erratbare oder organisationsspezifische Passwörter wählen.

4. Die MFA-Abdeckung ist unvollständig oder auf dem Zielpfad umgehbar

Selbst wenn ein Spray nur ein gültiges Passwort liefert, ist das Konto deutlich weniger nützlich, wenn starke MFA oder phishing-resistente Folgekontrollen tatsächlich auf dem relevanten Pfad durchgesetzt werden. CISA nennt fehlende MFA ausdrücklich als wiederkehrende Eigenschaft kompromittierter Umgebungen.

5. Monitoring ist zu schwach, um das Muster zusammenzuführen

Einige Fehlversuche gegen ein einzelnes Konto sind leicht abzutun. Das eigentliche Signal ist eine große Zahl von Fehlschlägen gegen viele Konten von derselben Quelle, Infrastruktur-Familie oder nach demselben Zeitmuster. Ohne diese Korrelation bleibt Password Spraying leicht zu übersehen.

Die Angriffskette

Eine typische Intrusionskette mit Password Spraying sieht so aus.

Schritt 1 – Kontoliste aufbauen

Der Angreifer sammelt Benutzernamen aus öffentlichen Quellen, früheren Leaks, Adressbüchern oder bereits kompromittierten Postfächern.

Schritt 2 – Kleine Passwortliste auswählen

Die gewählten Passwörter sind oft saisonbasiert, unternehmensbezogen oder so allgemein, dass sie Komplexitätsregeln erfüllen und trotzdem vorhersehbar bleiben.

Schritt 3 – Über viele Konten sprühen

Anstatt ein einzelnes Konto zu hämmern, testet der Angreifer wenige Passwortkandidaten über viele Benutzer hinweg und verteilt die Versuche zeitlich so, dass offensichtliche Lockout-Schwellen vermieden werden.

Schritt 4 – Das erste erfolgreiche Konto für Reconnaissance nutzen

Microsofts Peach-Sandstorm-Bericht zeigt das reale Risiko: Bereits ein einziges erfolgreich kompromittiertes Konto kann für Tenant Discovery, Persistenzversuche oder weitere Cloud-Aufklärung ausreichen.

Schritt 5 – Zugriff ausweiten

Von dort aus kann der Angreifer:

weitere Benutzernamen und Rollen sammeln
E-Mails oder die Global Address List herunterladen
als Nächstes privilegierte Benutzer angreifen
in Anwendungen, Subscriptions oder Infrastruktur pivotieren, die an die kompromittierte Identität gebunden sind

Deshalb ist Password Spraying nicht nur ein Problem fehlgeschlagener Logins. Es ist ein Initial-Access-Problem, das häufig in ein Privilege- und Persistence-Problem übergeht.

Password Spraying vs. andere Brute-Force-Techniken

Diese Begriffe verschwimmen oft, meinen aber nicht dasselbe.

Password Spraying = ein oder wenige Passwörter gegen viele Konten
Password Guessing = direktere Versuche gegen ein einzelnes Konto
Credential Stuffing = Wiederverwendung bereits bekannter Benutzername/Passwort-Paare aus fremden Leaks
Klassische Brute Force = viele Versuche gegen eine Identität oder ein Geheimnis, bis es klappt

Diese Unterscheidung ist operativ wichtig, weil Detection- und Lockout-Strategien unterschiedlich aussehen müssen.

Detection

Es gibt keinen universellen Einzelindikator für Password Spraying, weil die Technik Cloud-, föderierte und On-Prem-Pfade gleichzeitig betrifft. Das brauchbare Modell ist wieder Korrelation.

Cloud- und Entra-zentrierte Signale

Für Microsoft Entra ID sind besonders nützlich:

wiederholte fehlgeschlagene Sign-ins gegen viele Benutzer von derselben IP, demselben Infrastruktur-Cluster oder demselben User Agent
dasselbe Kandidat-Passwort-Muster gegen viele Konten über die Zeit
wiederholtes Smart-Lockout- oder Blocked-Sign-in-Verhalten über viele Konten von derselben Quelle
Medium- oder High-Sign-in-Risk-Aktivität zusammen mit wiederholten Passwortfehlern oder verdächtiger Infrastruktur
Nutzung von Legacy Authentication auf internetexponierten Identitätspfaden

Die Smart-Lockout-Dokumentation von Microsoft ergänzt mehrere wichtige Fakten:

Smart Lockout ist für Microsoft-Entra-Tenants standardmäßig aktiviert
die Standardschwelle beträgt 10 Fehlversuche für Azure Public und 3 für Azure US Government
die Standard-Sperrdauer beginnt bei 60 Sekunden und steigt nach wiederholten Fehlern an
Smart Lockout verfolgt die letzten drei Bad-Password-Hashes, sodass dieselbe falsche Eingabe den Zähler nicht immer weiter erhöht
diese Hash-Verfolgung steht bei Pass-through Authentication nicht zur Verfügung, weil die Authentifizierung On-Prem erfolgt

Diese Details sind wichtig, weil viele Teams überschätzen, was Lockout allein in Hybridumgebungen leisten kann.

AD- und On-Prem-Signale

Für Windows-Monitoring On-Prem sind besonders nützlich:

Spitzen in 4625-Fehlern von derselben Quelle gegen viele Konten, wenn SMB oder ähnliche Pfade beteiligt sind
4771-Kerberos-Pre-Auth-Fehler über viele Benutzer in kurzer Zeit
LDAP- oder Kerberos-Fehler, die zu einem Multi-Account-Muster passen, auch wenn sie nicht wie eine klassische SMB-Brute-Force-Sequenz aussehen
dieselbe Quelle oder derselbe Relay-Pfad, der viele Identitäten in niedriger, aber wiederkehrender Kadenz berührt

MITRE warnt ausdrücklich, dass LDAP- und Kerberos-Versuche seltener die sichtbarsten Windows-Fehlerbilder erzeugen können, auf die sich Verteidiger oft verlassen. Genau deshalb ist AD-Sicherheitsüberwachung: Event IDs und SIEM hier direkt relevant.

Wie gute Korrelation aussieht

Eine starke Password-Spray-Detection wird typischerweise so formuliert:

eine IP, ein ASN, ein User Agent oder ein kleines Infrastruktur-Set
viele Ziel-Benutzernamen
sehr wenige Versuche pro Konto
ein wiederkehrendes Passwortkandidaten- oder Timing-Muster
ein oder zwei erfolgreiche Konten, gefolgt von Discovery oder privilege-orientierter Aktivität

Warum Smart Lockout und Logs allein nicht ausreichen

Smart Lockout reduziert Risiko, aber Microsoft ist klar: Es garantiert nicht, dass legitime Benutzer niemals ausgesperrt werden, und ersetzt keine stärkere Authentifizierung und keine bessere Passwortbasis. Gute Detection hängt weiterhin von Log-Review, Alerting und dem genauen Verständnis der exponierten Pfade ab.

Remediation

Die Abwehr von Password Spraying ist nicht nur eine Passwort-Policy-Übung. Sie besteht aus stärkeren Passwörtern, weniger exponierten Passwort-only-Pfaden, stärkeren Post-Password-Kontrollen und besserem Schutz hybrider Authentifizierungsgrenzen.

1. Starke MFA auf exponierten Identitätspfaden erzwingen

CISA und Microsoft empfehlen MFA beide als Kernmaßnahme. Für öffentlich erreichbare Identitätssysteme – insbesondere Microsoft 365, Admin-Portale, VPN und Remote Access – darf ein gespraytes Passwort nicht ausreichen, um weiterzukommen.

Darum gehören Azure Identitätssicherheit: Warum MFA Allein Nicht Ausreicht und Azure Bedingter Zugriff: MFA-Bypass mit Gestohlenem Passwort direkt in denselben Themenkomplex. MFA muss auf den richtigen Pfaden vorhanden und korrekt durchgesetzt sein.

2. Smart Lockout in Entra korrekt nutzen

Microsoft dokumentiert Smart Lockout als Standardschutz gegen Brute Force und Password Spraying, aber Hybrid-Teams müssen ihn durchdacht einsetzen:

Entra-Schwellen niedriger halten als die On-Prem-AD-DS-Schwellen
Entra-Sperrdauer länger halten als die AD-DS-Sperrdauer
verstehen, dass Pass-through Authentication Teile des Smart-Lockout-Verhaltens verändert
prüfen, ob die On-Prem-Account-Lockout-Richtlinie vor allem Verfügbarkeitsprobleme erzeugt, ohne Spray-Risiko wirklich zu senken

3. Microsoft Entra Password Protection einsetzen

Microsoft Entra Password Protection ist einer der klarsten Anti-Spray-Kontrollen überhaupt, weil die Funktion auf realer Spray-Telemetrie basiert und bekannte schwache Passwörter sowie ihre Varianten blockiert.

Wichtige Implementierungsdetails laut Microsoft:

Cloud-Tenants erhalten standardmäßig die globale Banned-Password-Liste
tenant-spezifische schwache Begriffe können als benutzerdefinierte Banned Passwords ergänzt werden
On-Prem-AD DS kann dieselbe Kontrollfamilie über Microsoft-Entra-Password-Protection-Agents nutzen
Microsoft empfiehlt, eine On-Prem-Einführung zunächst im Audit-Modus zu starten und erst danach auf Enforced umzuschalten

Gerade in Hybridumgebungen ist das relevant, weil Angreifer On-Prem-Passwörter genauso gern sprayen wie Cloud-Passwörter.

4. Legacy Authentication und exponierte Passwort-only-Flächen reduzieren

Legacy Authentication bleibt attraktiv, weil sie ältere passwortbasierte Zugriffspfade offenhalten und stärkere Kontrollen moderner Sign-in-Flows teilweise umgehen kann. Wenn Legacy Authentication aktiv bleibt, lassen Verteidiger Angreifern weiterhin billigere Pfade zum Ausprobieren.

Das hängt direkt mit Azure Tenant-Härtung: Unsichere Defaults und Ihrer allgemeinen Conditional-Access-Prüfung zusammen.

5. Privilegierte Identitäten anders schützen als den Rest der Population

Ein erfolgreich gespraytes Low-Value-Konto ist schlecht. Ein erfolgreich gespraytes privilegiertes Konto ist oft der eigentliche Vorfall. Das bedeutet:

stärkere MFA-Anforderungen für privilegierte Rollen
engere Sign-in-Beschränkungen für administrative Identitäten
aktive Überprüfung veralteter privilegierter Benutzer und Break-Glass-Konten
schnelles Reset und unmittelbare Untersuchung, sobald ein privilegiertes Konto Ziel oder Opfer eines Sprays wird

Hier werden Azure Identity Protection: Reaktion auf Kompromittierte Konten und Veraltete und Überprivilegierte Konten in AD Teil derselben Mitigationsgeschichte.

6. Erfolgreich gesprayte Konten als Kompromittierung behandeln, nicht nur als schwaches Passwort

Microsofts Threat Reporting ist hier nützlich: Sobald ein Spray erfolgreich war, pivotiert der Akteur oft schnell in Reconnaissance, Persistenz und laterale Bewegung. Setzen Sie also nicht nur das Passwort zurück, sondern widerrufen Sie Sessions, prüfen Sie MFA-Änderungen, untersuchen Sie Folgeaktivität und bewerten Sie, welche weiteren Daten oder Pfade das kompromittierte Konto freigegeben hat.

Validierung nach der Härtung

Schließen Sie Password-Spraying-Remediation nicht ab, nur weil Smart Lockout aktiv ist oder eine neue Passwortregel verkündet wurde. Validieren Sie die exponierten Pfade direkt.

prüfen Sie, welche internetexponierten Pfade weiterhin passwortbasierte Authentifizierung akzeptieren
bestätigen Sie, dass MFA auf diesen Pfaden durchgesetzt wird, besonders für Admin- und High-Value-Konten
testen Sie das Verhalten von Smart Lockout und vergleichen Sie es in Hybridumgebungen mit den On-Prem-AD-Lockout-Einstellungen
prüfen Sie Sign-in-Logs auf breite Multi-User-Fehlermuster statt nur auf einzelne Lockouts
bestätigen Sie, dass Microsoft Entra Password Protection in der Cloud und – sofern vorgesehen – On-Prem aktiv ist
prüfen Sie, ob tenant-spezifische schwache Begriffe wie Firmenname, Produktname oder saisonale Muster in der benutzerdefinierten Banned List berücksichtigt werden

Das eigentliche Erfolgskriterium ist einfach: Eine kleine Liste häufiger Passwörter darf keinen brauchbaren Einstiegspunkt mehr liefern – weder in der Cloud noch On-Prem.

Wie EtcSec verwandte Exposition erkennt

EtcSec braucht kein künstliches password spraying-Taxonomie-Tag, um hier Mehrwert zu liefern. Der Nutzen liegt in den umgebenden Kontrollen, die darüber entscheiden, ob ein Spray Erfolg hat oder verpufft.

Die nächstliegenden zugrunde liegenden Findings sind die, die eine Spray-Kampagne überhaupt praktikabel machen: schwache Passwortpolitik auf der AD-Seite und fehlende MFA-Anforderungen auf exponierten Entra-Sign-in-Pfaden. Das ist nicht identisch mit der Angriffstechnik, aber genau diese Kontrolllücken machen aus einem breiten Spray einen nutzbaren Einstieg.

Die wichtigsten verwandten Kontrollen sind:

Zusammen zeigen diese Kontrollen, ob die Umgebung weiterhin eine einfache Spray-Oberfläche bietet.