Hackere bombarderer Microsoft 365 med 81 millioner loginforsøg
En aggressiv password-spraying-kampagne har på blot to uger ramt Microsoft 365-miljøer med mere end 81 millioner loginforsøg. Der er tale om en aktør, der systematisk har forsøgt login på Microsoft 365-konti med brugernavne og adgangskoder, som tidligere er blevet kompromitteret i databrud.
Det skriver Bleeping Computer.
Angrebene blev udført via Microsofts Azure command-line interface (CLI), som normalt bruges legitimt til administration af cloudressourcer som virtuelle maskiner, applikationer og databaser. Det er netop denne legitime adgangsflade, der har gjort angrebene sværere at opdage og blokere effektivt.
Når en gyldig kombination af brugernavn og adgangskode blev fundet, skiftede angrebet karakter. Her anvendte aktøren OAuth-flowet ROPC (Resource Owner Password Credentials), som i mange tilfælde gjorde det muligt at omgå multifaktorautentifikation (MFA).
MFA blev omgået via konfigurationssvagheder
Trods udbredt brug af MFA blandt de ramte organisationer lykkedes det i flere tilfælde at omgå beskyttelsen. Ifølge observationer fra sikkerhedsvirksomheden Huntress skyldes det primært uhensigtsmæssige konfigurationer af Conditional Access-politikker.
Problemet ligger i selve ROPC-flowet. Her sendes adgangskoden direkte til en token-endpoint uden nogen interaktiv MFA-udfordring. Det betyder, at selv organisationer med MFA-beskyttelse kan være sårbare, hvis ikke alle autentificeringsflows er dækket korrekt.
Huntress fremhæver en række konkrete svagheder i de kompromitterede miljøer:
- MFA var kun aktiveret for udvalgte applikationer og ikke på tværs af alle cloud-tjenester
- MFA gjaldt kun bestemte brugergrupper, ofte administratorer
- MFA blev kun krævet ved login fra “ikke-betroede” lokationer
- Politikker var sat i “report-only”-tilstand og derfor ikke håndhævet
- I enkelte tilfælde var MFA slet ikke implementeret
Resultatet var, at angrebsvejen via ROPC i praksis stod åben.
78 konti kompromitteret på tværs af organisationer
Huntress observerede kampagnen mellem 12. og 26. juni, hvor deres kunder blev målrettet. I denne periode blev 78 Microsoft 365-konti kompromitteret fordelt på 64 organisationer. Aktiviteten toppede den 22. juni, hvor antallet af loginforsøg nåede sit højeste niveau. Samlet set er password-spraying-aktiviteten steget markant, og organisationer oplever nu i gennemsnit næsten 2.000 fejlede loginforsøg per tenant om måneden – en stigning på over 155 gange i forhold til tidligere niveauer.
Selvom den præcise aktør bag kampagnen ikke er identificeret, peger sporene på aktivitet fra et IPv6-interval tilhørende virksomheden LSHIY LLC (AS32167). Denne infrastruktur blev brugt til at gennemføre loginforsøgene i stor skala. Huntress har rapporteret aktiviteten til udbyderen via deres abuse-kanaler, men der forelå på tidspunktet for offentliggørelsen ikke nogen respons.
Bleeping Computer skriver, at kampagnen kombinerer flere kendte elementer: genbrugte credentials, legitime administrationsværktøjer og ældre OAuth-flows. Hver for sig er de velkendte, men i kombination og med den rette mængde automatisering opstår en effektiv angrebsmetode, der udnytter huller i selv modne sikkerhedsopsætninger.