Hackeři podnikli přes 81 milionů pokusů o přihlášení k účtům Microsoft 365
Při svém nejnovějším útoku hackeři využívali dříve uniklé kombinace uživatelských jmen a hesel, které byly stále platné. K ověřování přístupu používali rozhraní Microsoft Azure CLI, běžný nástroj pro správu cloudových služeb Azure.
Jakmile narazili na funkční přihlašovací údaje, přihlásili se prostřednictvím mechanismu ROPC (Resource Owner Password Credentials). Ten v některých organizacích umožnil obejít vícefaktorové ověřování (MFA), a to kvůli nesprávně nastaveným přístupovým zásadám.
Společnost Huntress, která se zabývá kybernetickou bezpečností, zaznamenala tuto aktivitu mezi 12. a 26. červnem. Během této doby bylo kompromitováno 78 účtů Microsoft ve 64 různých organizacích.
Měli zapnutou ochranu druhým faktorem: Přesto se útočníci dostali dovnitř
Podle Huntress sice řada napadených firem měla vícefaktorové ověřování zapnuté, ale nebylo nastavené tak, aby chránilo použitý způsob přihlášení. Protokol ROPC totiž nepodporuje moderní metody ověřování, jako jsou MFA nebo jednotné přihlášení Single Sign-On (SSO). Místo toho heslo odesílá heslo přímo na ověřovací bod, a to aniž by uživatele vyzval k potvrzení pomocí druhého faktoru.
Výzkumníci v této souvislosti upozornili na několik nejčastějších chyb v konfiguraci zabezpečení:
-
1
Namísto všech cloudových služeb bylo MFA vyžadováno pouze pro vybrané aplikace.
-
2
Ochrana se vztahovala jen na určité skupiny uživatelů, například administrátory.
-
3
Vícefaktorové ověřování bylo vyžadováno pouze při přihlášení z nedůvěryhodných lokalit, zatímco přístupy z důvěryhodných IP adres zůstávaly bez dodatečné kontroly.
-
4
Zásady byly nastaveny pouze v režimu reportování, takže se ve skutečnosti nikdy neuplatňovaly.
-
5
V některých organizacích dokonce nebylo vícefaktorové ověřování nasazené vůbec.
Mohlo by vás zajímat
Microsoft byl opět na mušce hackerů: útočníci několik měsíců nepozorovaně četli interní e-maily
V případě útoků typu password spraying experti z Huntress zároveň zaznamenali více než 155násobný nárůst. Průměrně nyní každá organizace čelí přibližně 1 964 neúspěšným pokusům o přihlášení měsíčně na jedno prostředí Microsoft 365 (Microsoft to nazývá tenant).
Zatím není jasné, kdo za kampaní stojí. Analýza však ukazuje, že útoky přicházely z rozsahu IPv6 adres, patřících společnosti s tajemným názvem LSHIY LLC. Huntress tento incident nahlásil prostřednictvím oficiálního formuláře pro zneužití, ale do zveřejnění své zprávy neobdržel žádnou odpověď.
Zdroj: Bleeping Computer