Přejít k hlavnímu obsahu

81 milionů útoků za pouhé dva týdny. Microsoft čelil masivnímu obcházení MFA

Jiří Palyza 09.07.2026
Symbolika kybernetické kriminality
Zdroj: Joshua Koblin / Unsplash

Během pouhých dvou týdnů bezpečnostní odborníci zaznamenali rozsáhlou kampaň, zaměřenou na prostředí Microsoft 365. Útočníci provedli více než 81 milionů pokusů o přihlášení k uživatelským účtům pomocí techniky, známé jako password spraying. Jak se proti tomu můžeme bránit?

Kapitoly článku

Hackeři podnikli přes 81 milionů pokusů o přihlášení k účtům Microsoft 365

Při svém nejnovějším útoku hackeři využívali dříve uniklé kombinace uživatelských jmen a hesel, které byly stále platné. K ověřování přístupu používali rozhraní Microsoft Azure CLI, běžný nástroj pro správu cloudových služeb Azure.

Jakmile narazili na funkční přihlašovací údaje, přihlásili se prostřednictvím mechanismu ROPC (Resource Owner Password Credentials). Ten v některých organizacích umožnil obejít vícefaktorové ověřování (MFA), a to kvůli nesprávně nastaveným přístupovým zásadám.

Společnost Huntress, která se zabývá kybernetickou bezpečností, zaznamenala tuto aktivitu mezi 12. a 26. červnem. Během této doby bylo kompromitováno 78 účtů Microsoft ve 64 různých organizacích.

Mohlo by vás zajímat

Měli zapnutou ochranu druhým faktorem: Přesto se útočníci dostali dovnitř

Podle Huntress sice řada napadených firem měla vícefaktorové ověřování zapnuté, ale nebylo nastavené tak, aby chránilo použitý způsob přihlášení. Protokol ROPC totiž nepodporuje moderní metody ověřování, jako jsou MFA nebo jednotné přihlášení Single Sign-On (SSO). Místo toho heslo odesílá heslo přímo na ověřovací bod, a to aniž by uživatele vyzval k potvrzení pomocí druhého faktoru.

Výzkumníci v této souvislosti upozornili na několik nejčastějších chyb v konfiguraci zabezpečení:

  • 1

    Namísto všech cloudových služeb bylo MFA vyžadováno pouze pro vybrané aplikace.

  • 2

    Ochrana se vztahovala jen na určité skupiny uživatelů, například administrátory.

  • 3

    Vícefaktorové ověřování bylo vyžadováno pouze při přihlášení z nedůvěryhodných lokalit, zatímco přístupy z důvěryhodných IP adres zůstávaly bez dodatečné kontroly.

  • 4

    Zásady byly nastaveny pouze v režimu reportování, takže se ve skutečnosti nikdy neuplatňovaly.

  • 5

    V některých organizacích dokonce nebylo vícefaktorové ověřování nasazené vůbec.

Mohlo by vás zajímat

V případě útoků typu password spraying experti z Huntress zároveň zaznamenali více než 155násobný nárůst. Průměrně nyní každá organizace čelí přibližně 1 964 neúspěšným pokusům o přihlášení měsíčně na jedno prostředí Microsoft 365 (Microsoft to nazývá tenant).

Zatím není jasné, kdo za kampaní stojí. Analýza však ukazuje, že útoky přicházely z rozsahu IPv6 adres, patřících společnosti s tajemným názvem LSHIY LLC. Huntress tento incident nahlásil prostřednictvím oficiálního formuláře pro zneužití, ale do zveřejnění své zprávy neobdržel žádnou odpověď.

Zdroj: Bleeping Computer

Video tipy ze světa technologií od redakce Chip.cz –

Máte k článku připomínku? Napište nám

Seznam diskuze

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme


Novinky