Пользователи Microsoft 365 стали жертвами уникальной «password spray» атаки

Microsoft Mfa атака Huntress Password Spray Oauth csoonline.com

Пользователи Microsoft стали жертвами масштабной автоматизированной атаки перебором паролей (password spray). Компания Huntress сообщила о 81 миллионе попыток входа в учетные записи клиентов с 12 по 26 июня, с успехом в 78 случаях. Атаки использовали уязвимости в настройках MFA.

Пользователи Microsoft подверглись массированной автоматизированной атаке типа password spray (перебор паролей).

Среди тех, кто стал мишенью атаки, были клиенты компании по безопасности Huntress. Она сообщила, что злоумышленники предприняли 81 миллион попыток входа в учетные записи ее клиентов в период с 12 по 26 июня — и добились успеха как минимум в 78 случаях.

И это только атаки на владельцев учетных записей Microsoft, которые также являются клиентами Huntress: число скомпрометированных учетных записей может быть намного выше, поскольку атаки типа password spray по своей природе нацелены на подключение без разбора.

Все атаки исходили из одного источника — диапазона IPv6-адресов, контролируемого интернет-провайдером LSHIY LLC, сообщила Huntress в записи в блоге. С тех пор LSHIY прекратила доступ для клиента, использовавшего IP-адреса, задействованные в атаке.

Huntress некоторое время отслеживала атаки типа spray и заметила небольшое увеличение с 12 июня, а затем резкий скачок 22 июня, когда пострадали 30 ее клиентов.

Злоумышленники повторяли проверенные учетные данные через поток OAuth ROPC (Resource Owner Password Credentials). Этот метод принимает имя пользователя/пароль по конечной точке /token для арендатора и выпускает новый токен, делегированный пользователю, после предоставления правильных учетных данных. Это стало возможным, поскольку многофакторная аутентификация (MFA) не была настроена для обработки техник, примененных злоумышленниками.

Huntress заявила, что это произошло потому, что в некоторых случаях MFA применялась для конкретных приложений, а не для «Всех облачных приложений» (All Cloud Apps). Например, некоторые организации требовали MFA для порталов администрирования Microsoft, что не распространялось на входы через Azure CLI, используемые злоумышленником.

В других случаях организации включали MFA только для определенных групп пользователей (например, «Только администраторы»). Скомпрометированные пользователи не входили в область действия этих конкретных групп пользователей.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: