81 de milioane de încercări de autentificare în Microsoft 365: atacul care arată că MFA prost configurat nu te salvează
O campanie agresivă îndreptată împotriva conturilor Microsoft 365 a generat peste 81 de milioane de tentative de logare în numai două săptămâni. Atacul a vizat în special organizații care folosesc infrastructura cloud Azure, iar detaliile au fost publicate de BleepingComputer pe baza unei analize realizate de compania de securitate Huntress.
În perioada 12-26 iunie, hackerii au încercat să folosească parole și adrese de e-mail expuse anterior în alte breșe de date. Au fost compromise cel puțin 78 de conturi Microsoft din 64 de organizații, ceea ce arată că nu este vorba doar despre un val uriaș de încercări eșuate, ci despre un atac care a reușit să treacă de unele dintre măsurile de protecție existente.
Campania a vizat Azure CLI, un instrument folosit frecvent de administratori și dezvoltatori pentru gestionarea resurselor cloud. Prin el pot fi controlate mașini virtuale, baze de date, aplicații, servere sau procese automate. Tocmai de aceea, un cont compromis poate oferi unui atacator mai mult decât acces la e-mail: poate deveni o ușă către infrastructura digitală a unei companii.
Atacatorii au profitat de parole vechi și politici MFA incomplete
Metoda folosită este cunoscută drept password spraying, un tip de atac în care infractorii încearcă parole comune, parole furate sau combinații de date obținute din breșe mai vechi asupra unui număr mare de conturi. În loc să insiste asupra unui singur utilizator până când contul este blocat, atacatorii împrăștie tentativele pentru a evita mecanismele clasice de detectare.
În acest caz, hackerii au folosit fluxul OAuth numit Resource Owner Password Credentials, prescurtat ROPC. Acest mecanism trimite direct numele de utilizator și parola pentru obținerea unui token de acces, fără să afișeze o etapă interactivă de confirmare. Dacă regulile de securitate ale companiei nu acoperă corect această metodă, autentificarea în doi pași poate să nu mai fie cerută.
Aici apare problema majoră. Multe organizații cred că sunt protejate pentru că au activat MFA, însă configurarea poate fi limitată doar la anumite aplicații, anumite grupuri de angajați sau anumite locații. În alte cazuri, politica există doar în modul de testare, ceea ce înseamnă că detectează problema, dar nu blochează accesul.
Pe scurt, MFA nu este o garanție absolută dacă nu este aplicată peste tot unde trebuie. Un atacator nu are nevoie să spargă autentificarea în doi pași; îi poate fi suficient să găsească un colț al infrastructurii unde aceasta nu este cerută. Tocmai de aceea, autentificarea rezistentă la phishing devine tot mai importantă pentru conturile de serviciu și pentru platformele care conțin informații sensibile.
De ce atacul este periculos pentru companii
Un cont Microsoft 365 compromis poate însemna acces la e-mailuri, documente din OneDrive sau SharePoint, întâlniri din calendar, conversații interne, fișiere trimise prin Teams și, în unele cazuri, date legate de infrastructura Azure. Pentru atacatori, acesta poate fi doar primul pas într-o operațiune mai amplă, care include furt de informații, extorcare, distribuirea de ransomware sau fraude prin e-mail.
Cel mai mare risc apare atunci când contul atacat aparține unui administrator, unui dezvoltator sau unei persoane cu acces la sisteme interne. Astfel de utilizatori pot avea tokenuri, chei API, parole de serviciu sau acces la platforme care nu ar trebui să ajungă niciodată în mâinile altcuiva.
Campania arată și cât de important este ca parolele să nu fie reutilizate. O parolă compromisă pe un site banal, vechi sau nesigur poate deveni cheia de acces către un cont profesional mult mai valoros. În plus, angajații trebuie să fie atenți și la mesajele care imită notificări Microsoft, pentru că phishingul cu adrese oficiale Microsoft este deja o metodă folosită pentru a câștiga încrederea victimelor.
Pentru companii, soluția nu este doar activarea MFA, ci verificarea concretă a regulilor de acces condiționat. Administratorii trebuie să se asigure că protecția se aplică tuturor aplicațiilor cloud, tuturor angajaților și tuturor fluxurilor de autentificare relevante. De asemenea, este importantă monitorizarea logărilor neobișnuite, mai ales atunci când apar încercări masive din locații sau intervale de adrese IP neobișnuite.
Pentru utilizatorii obișnuiți, regula rămâne simplă: folosește parole unice, un manager de parole și autentificare în doi pași pentru orice cont important. Nu ignora alertele de conectare și verifică periodic sesiunile active. Într-o perioadă în care securitatea e-mailului devine una dintre cele mai mari vulnerabilități ale companiilor, o singură parolă veche poate avea consecințe mult mai mari decât pare.