ST

Live Redaktion

SvyTech

TechnologieHardwareForschungArchivSuche
Redaktion
Suche
TechnologieHardwareForschungArchivSuche
ST

Redaktionelles Netzwerk

SvyTech

Kuratierte Meldungen zu KI, Hardware, Energie und Forschung werden redaktionell geprueft und in einem publizierbaren Nachrichtenfluss aufbereitet.

LivetickerSEO FokusKuratierte Auswahl

Navigation

TechnologieHardwareForschungArchivSuche

Vertrauen

Ueber unsRichtlinienKontaktWerbung

Auf dem Laufenden bleiben

Bis ein echter Newsletter angebunden ist, erreichst du alle neuen Inhalte direkt ueber Archiv, Suche und den RSS-Feed.

Zum ArchivThemen durchsuchenRSS abonnieren

(c) 2026 SvyTech.

ImpressumDatenschutzRSSads.txt
Startseite/Technologie
Cyber Security NewsTechnologie

ROADtools missbraucht: Wie Angreifer Cloud-Zugangstoken stehlen und MFA umgehen

Das bekannte Open-Source-Sicherheitsframework ROADtools, das ursprünglich zum Schutz , wird nun gegen diese eingesetzt.

27. Mai 2026Tushar Subhra DuttaLive Redaktion
ROADtools missbraucht: Wie Angreifer Cloud-Zugangstoken stehlen und MFA umgehen

Kurzfassung

Warum das wichtig ist

Cyber Security NewsTechnologie
  • Das bekannte Open-Source-Sicherheitsframework ROADtools, das ursprünglich zum Schutz , wird nun gegen diese eingesetzt.
  • Einst ein legitimes Tool für Red Teaming, nutzen Angreifer es aktiv, um Authentifizierungstokens zu stehlen, illegitime Geräte zu registrieren und Multi-Faktor-Authentifizierung (MFA)-Steuerungen in Microsoft Azure-Umgebungen zu umgehen.
  • ROADtools ist ein auf Python basierender Toolkit, der mit Microsoft Entra ID (ehemals Azure Active Directory) interagiert.

SvyTech-Check

Redaktionelle Einordnung

Eigene Kontextschicht

Kernpunkt

Das bekannte Open-Source-Sicherheitsframework ROADtools, das ursprünglich zum Schutz , wird nun gegen diese eingesetzt.

Warum relevant

Es ermöglicht die Enumeration, Gruppen, Geräten und Anwendungen innerhalb eines Cloud-Tenants.

Einordnung

SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.

Es ermöglicht die Enumeration, Gruppen, Geräten und Anwendungen innerhalb eines Cloud-Tenants. Angreifer finden das Tool nützlich, da es über dieselben legitimen Microsoft-APIs läuft, auf die Organisationen im täglichen Betrieb angewiesen sind, was eine Erkennung extrem erschwert.

Analysten der Unit 42, der Bedrohungserkennungsabteilung, haben in einem Bericht, der (CSN) veröffentlicht wurde, dargelegt, wie sich das Toolkit vollwertigen Angriffsplattform entwickelt hat.

Nationstaatliche Bedrohungsakteure wurden dabei beobachtet, dass sie es in realen Cloud-Verletzungen zur Erkundung, zur Aufrechterhaltung des Zugriffs und zur Umgehung ßnahmen einsetzen.

Sicherheitslage und Risiko

Das Toolkit erregte bereits Ende 2021 Aufmerksamkeit, als Cloaked Ursa – ebenfalls als Midnight Blizzard oder APT29 bekannt – nach dem Erreichen des Zugriffs durch Spear-Phishing es einsetzte. Bis 2023 nutzte die iranische Gruppe Curious Serpens, auch bekannt als Peach Sandstorm oder APT33, ROADtools im Anschluss an Passwort-Spray-Kampagnen.

Quellenprofil

Quelle und redaktionelle Angaben

Quelle
Cyber Security News
Canonical
https://cybersecuritynews.com/roadtools-misused-in-cloud-attacks/
Quell-URL
https://cybersecuritynews.com/roadtools-misused-in-cloud-attacks/

Aehnliche Inhalte

Verwandte Themen und interne Verlinkung

Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Die USA starten erste Tests des vollständig digitalen Kernreaktors PUR-1 der neuen Generation
Im FokusTechnologie

Die USA starten erste Tests des vollständig digitalen Kernreaktors PUR-1 der neuen Generation

Der Reaktor 1 der Purdue University (PUR-1) hat sich als erste nationale Plattform etabliert, um Technologien wie künstliche Intelligenz, digitale Zwillinge und Cybersicherheit unter realen Bedingungen in einem nuklearen Umfeld zu testen. Diese Forschung dient der Validierung für zukünftige kleine modulare Reaktoren (SMR) und Mikroreaktoren, um deren Fernsteuerung, Sicherheit und Effizienz zu verbessern, ohne Strom für die kommerzielle Energieerzeugung zu produzieren.

11.07.2026

Live Redaktion

Eine 2025 durchgeführte Phishing-Kampagne, die dem staatlich verbundenen Akteur UTA0355 zugeschrieben wird, verwendete Werkzeuge, deren Token-Management-Funktionen denen ähneln. Die Bedrohung beschränkt sich nicht auf eine einzige Branche.

Jede Organisation, die Microsoft-Cloud-Dienste nutzt, kann Ziel sein, insbesondere solche mit falsch konfigurierten Conditional Access Policies oder Anwendungen, die zu weitreichende Berechtigungen besitzen.

Technischer Hintergrund

Missbrauch gefährlichste Fähigkeit des Toolkits liegt in seiner roadtx-Modul, das die Beschaffung und den Austausch Angreifer gültige Anmeldeinformationen besitzt, kann er roadtx nutzen, um sich über mehrere unterstützte Authentifizierungsabläufe anzumelden, darunter den Device-Code-Flow und den On-Behalf-Of (OBO)-Flow.

Das Ergebnis ist eine Reihe 2.0-Zugriffs- und Erneuerungstokens, die für den stummen Zugriff auf Microsoft-Cloud-Dienste verwendet werden können. Durch die Beschaffung eines Primary Refresh Token (PRT) kann ein Angreifer im Hintergrund kontinuierlich neue Zugriffstokens generieren, ohne dass erneut eine Anmeldeaufforderung ausgelöst wird.

ROADtools missbraucht: Wie Angreifer Cloud-Zugangstoken stehlen und MFA umgehen
ROADtools missbraucht: Wie Angreifer Cloud-Zugangstoken stehlen und MFA umgehen

Dies ermöglicht es ihm effektiv, über längere Zeiträume hinweg innerhalb eines kompromittierten Mandanten zu agieren und MFA-Kontrollen vollständig zu umgehen. Ein einzelner kompromittierter PRT gewährt persistente, programmgesteuerte Zugriffsrechte über den gesamten Azure-Mandanten hinweg.

Zudem ermöglicht das roadtx-Modul Angreifern, betrügerische

Zudem ermöglicht das roadtx-Modul Angreifern, betrügerische Geräte in Entra ID zu registrieren, die im Geräteinventar als legitime Einträge erscheinen. Je nach Entra ID-Konfiguration können diese Geräte auch dazu genutzt werden, Conditional Access Policies zu umgehen.

Standardmäßig registriert roadtx Geräte mit der Betriebssystemversion 10.0.19041.928 und benennt sie nach dem Muster DESKTOP gefolgt älligen Ziffern – ein nützlicher Indikator für Verteidiger.

Die Jagd nach ROADtools und empfohlene Verteidigungsmaßnahmen: Forscher 42 empfehlen einen mehrschichtigen Ansatz zur Erkennung und Unterbindung Entra ID-Token-Schutzes zählt zu den direktesten Verteidigungsmaßnahmen, da sie Refresh-Tokens an ein bestimmtes Gerät bindet und deren Diebstahl sowie Wiederverwendung erheblich erschwert.

Sicherheitslage und Risiko

Organisationen sollten zudem den Device-Code-Flow über Conditional Access Policies einschränken, da Angreifer ihn gezielt nutzen, weil er sich besonders gut für automatisierte, skriptbasierte Angriffe eignet. Regelmäßige Audits der OAuth-Anwendungsrechte sind ebenso wichtig.

Benutzerdefinierte oder aufgegebenen Apps mit weitreichenden Zugriffsrechten auf Microsoft Graph, SharePoint oder Exchange sind ideale Ziele für Token-Diebstähle. Die Bereitstellung von Lösungen für privilegierte Identitätsverwaltung (PIM) oder privilegierten Zugriff (PAM) kann den Schaden weiter begrenzen, falls ein Token gestohlen wird.

Zum Threat Hunting sollten Verteidiger nach skriptbasierten User-Agents suchen, beispielsweise nach Zeichenketten wie „python-requests" oder „urllib" in den Authentifizierungsprotokollen.

Technischer Hintergrund

Microsoft Graph-API-Protokolle, die innerhalb eines kurzen Zeitraums hochvolumige, sich wiederholende Abfragen an Endpunkte wie /users, /groups oder /devices zeigen, sind ein starker Indikator für eine roadrecon-Enumeration.

ROADtools missbraucht: Wie Angreifer Cloud-Zugangstoken stehlen und MFA umgehen
ROADtools missbraucht: Wie Angreifer Cloud-Zugangstoken stehlen und MFA umgehen

Die Konsolidierung, Graph-API-Aktivitätsprotokollen und Anmeldeinformationen in einer SIEM-Plattform ermöglicht Sicherheitsteams die erforderliche Sichtbarkeit, um diese Aktivitäten zu erkennen, bevor sie eskalieren.

Indikatoren für Kompromittierung (IoCs): User-Agent-String: Indikator: roadtools; Beschreibung: HTTP-User-Agent-String, der mit der Aktivität des ROADtools-Tools im Netzwerkverkehr verbunden ist. User-Agent-String: Indikator: python-requests/; Beschreibung: HTTP-User-Agent-String, der /roadlib verwendet wird, um Token-Anfragen über Python zu stellen.

OS-Version (Standard): Indikator: 10.0.19041.928; Beschreibung: Standard-OS-Version,

OS-Version (Standard): Indikator: 10.0.19041.928; Beschreibung: Standard-OS-Version, die bösartigen Geräts in Entra ID festgelegt wird. Geräte-Namensmuster: Indikator: DESKTOP-; Beschreibung: Standardbenennungskonvention, die für die Registrierung bösartiger Geräte in Entra ID verwendet wird.

OAuth-Berechtigungsbereich: Indikator: Directory.ReadWrite.All; Beschreibung: Umfassende Microsoft Graph-Berechtigung, die über roadtx für die Aufzählung: Indikator: Device.ReadWrite.All; Beschreibung: Microsoft Graph-Berechtigung, die mit der Manipulation äten über ROADtools in Verbindung steht.

OAuth-Berechtigungsbereich: Indikator: Application.ReadWrite.All; Beschreibung: Microsoft Graph-Berechtigung, die Token auf Anwendungsebene missbraucht wird. OAuth-Berechtigungsbereich: Indikator: AuditLog.ReadWrite.All; Beschreibung: Microsoft Graph-Berechtigung, die potenziell gezielt wird, um Auditprotokolle zu erreichen oder zu manipulieren.

Technik und Auswirkungen

Hinweis: IP-Adressen und Domains wurden absichtlich defanged (z. B. [.] ), um eine unbeabsichtigte Auflösung oder das Erstellen Re-Fang-Operationen sind ausschließlich in kontrollierten Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihrem SIEM durchzuführen.

Tushar ist ein Senior-Experte für Cybersecurity und Berichterstattung über Sicherheitsverletzungen. Er spezialisiert sich auf die Berichterstattung über Nachrichten und Trends im Bereich der Cybersicherheit sowie auf neue Bedrohungen, Datenlecks und Malware-Angriffe. Mit jahrelanger Erfahrung bringt er Klarheit und Tiefe in komplexe Sicherheitsthemen ein.

Verwaltung mehrerer Online-Konten im Jahr 2026: Sicherheit, Struktur und Skalierbarkeit. Frankreich plant den Ersatz Regierungs-Desktops. Die Injektionsverwundbarkeit des Flowise AI-Agenten-Builders wurde in Angriffen ausgenutzt; über 15.000 Instanzen wurden kompromittiert.

Quelllink

Originalquelle: Cyber Security News

Originalartikel oeffnen->

Thema weiterverfolgen

Technologie ArchivMehr von Cyber Security News

Interne Verlinkung

Im Kontext weiterlesen

Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.

Technologie Archiv

Weitere Meldungen aus derselben Hauptkategorie.

Mehr von Cyber Security News

Alle veroeffentlichten Inhalte derselben Quelle im Archiv.

Die USA starten erste Tests des vollständig digitalen Kernreaktors PUR-1 der neuen Generation

Redaktionell verwandter Beitrag aus dem selben Themenumfeld.

AMD und Valorant kooperieren: VCTCN 2026-Sonderkollektion vorgestellt

Redaktionell verwandter Beitrag aus dem selben Themenumfeld.

AMD und Valorant kooperieren: VCTCN 2026-Sonderkollektion vorgestellt
AnalyseTechnologie

AMD und Valorant kooperieren: VCTCN 2026-Sonderkollektion vorgestellt

Im Rahmen des AMD Carnival Hour auf dem Bilibili World 2026 in Shanghai kündigte der Hersteller gemeinsam mit TJ Sports eine limitierte Hardware-Serie für die Valorant Champions Tour China 2026 an, die speziell auf den chinesischen Markt zugeschnitten ist. Die Kollektion umfasst thematisch angepasste Komponenten wie den Ryzen 7 9800 ×3D-Prozessor und die Radeon RX 9070 XT-Grafikkarte sowie entsprechende Laptop- und Desktop-Systeme, die während der Grand Finals in Chengdu exklusiv ausgestellt und verkauft werden.

11.07.2026

Live Redaktion
Colibrì-Projekt: Großes KI-Modell mit 1,5 TB Größe läuft auf 25 GB RAM
AnalyseTechnologie

Colibrì-Projekt: Großes KI-Modell mit 1,5 TB Größe läuft auf 25 GB RAM

Der italienische Entwickler Vincenzo (JustVugg) hat mit dem Projekt „Colibrì" erfolgreich das 744 Milliarden Parameter umfassende GLM-5.2-Modell durch eine schichtweise Ladestrategie und MoE-Architektur auf einem Standard-Computer mit nur 25 GB Arbeitsspeicher betrieben. Obwohl die aktuelle Generierungsgeschwindigkeit von 0,05 bis 0,1 Token pro Sekunde aufgrund /O-Bottlenecks für Echtzeit-Gespräche noch unzureichend ist, bietet das System eine Antwortqualität, die mit Lösungen ßkonzernen wie OpenAI oder Anthropic vergleichbar ist.

11.07.2026

Live Redaktion
Künstliche Intelligenz erkennt versteckte Signale vor großen Erdbeben
Im FokusTechnologie

Künstliche Intelligenz erkennt versteckte Signale vor großen Erdbeben

Forscher des GFZ Helmholtz-Zentrums für Erdwissenschaften haben ein neues unüberwachtes Machine-Learning-Verfahren entwickelt, das anhand äufersignale vor großen Erdbeben identifizieren kann, wie Tests an Ereignissen in Kahramanmaraş, Iquique und L'Aquila zeigten. Die in der Zeitschrift Nature Communications veröffentlichte Studie betont jedoch, dass nicht jedes große Erdbeben einem solchen Vorbereitungsprozess folgt und das Verfahren daher nicht zur exakten Vorhersage , sondern dazu, risikobehaftete Zeiträume mit erhöhter seismischer Aktivität zu erkennen.

11.07.2026

Live Redaktion