Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Password spray напад преку Azure CLI погоди најмалку 78 Microsoft сметки во повеќе од 81 милион обиди

Истражувачите за сајбер-безбедност предупредуваат за „масовен, тековен и автоматизиран password spray напад“ насочен кон командно-линискиот интерфејс (Azure CLI) на Microsoft, при што биле компромитирани десетици кориснички сметки.

Според компанијата Huntress, активноста потекнува од IPv6 адресен опсег (2a0a:d683::/32) под контрола на интернет-инфраструктурниот провајдер LSHIY LLC (AS32167).

„Помеѓу 12 и 26 јуни, напаѓачот извршил повеќе од 81 милион обиди за најавување и успешно компромитирал најмалку 78 Microsoft сметки во 64 организации“, соопшти компанијата.

„Изгледа дека целите на нападите се избрани исклучиво врз основа на тоа колку често лозинките се појавуваат во компромитирани листи со кориснички имиња и лозинки, а не според видот на бизнисот или индустријата.“

Она што го прави овој password spray напад особено значаен не е само неговиот обем, туку и фактот што многу од погодените организации имале активирани политики за Conditional Access. Поточно, кампањата користела застарен OAuth механизам наречен Resource Owner Password Credentials (ROPC) за да ги заобиколи заштитите што ги обезбедуваат овие политики.

ROPC е застарен тип на OAuth 2.0 автентикација при кој корисникот директно ги внесува своето корисничко име и лозинка во клиентската апликација. Апликацијата потоа ги испраќа тие податоци до серверот за авторизација, кој ги заменува со токен за пристап. Овој механизам е укинат во OAuth 2.1.

Во својата документација, Microsoft ги советува клиентите да не го користат ROPC, бидејќи не е компатибилен со повеќефакторска автентикација (MFA).

„Во повеќето случаи постојат побезбедни и препорачани алтернативи“, наведува технолошкиот гигант. „Овој механизам бара исклучително високо ниво на доверба во самата апликација и носи ризици што не постојат кај другите методи за автентикација. Треба да се користи само кога побезбедните решенија не се применливи.“

Според истражувачите, нападите со масовно тестирање на кориснички акредитиви и токени довеле до неколку успешни најавувања дневно во периодот од 12 до 21 јуни 2026 година, при што просечно биле компромитирани две до четири сметки дневно. Исклучок бил 19 јуни, кога биле компромитирани 12 кориснички сметки (идентитети).

Овој ритам значително се променил на 22 јуни, кога биле компромитирани 30 кориснички идентитети во 23 различни организации.

Вкупно 78 кориснички сметки биле компромитирани во 64 организации како дел од оваа кампања. Огромното мнозинство од password spray нападите потекнувале од мрежата на LSHIY LLC, при што дел од IP-адресите биле лоцирани во САД, а неколку други во Кина.

„Овие напади се дел од голем бран напади со масовно тестирање на кориснички акредитиви што се спроведуваат преку неколку различни автономни системи (ASN)“, соопшти Huntress. Компанијата додава дека забележала повеќе од 155-кратно зголемување на ваквите напади кај своите клиенти.

„Нападите особено се интензивираа кон крајот на мај и почетокот на јуни, при што моменталниот просек изнесува околу 1.964 неуспешни обиди за најавување месечно за секој закупец (tenant) заштитен од Huntress.“

Според истражувачите, напаѓачите конкретно ги злоупотребувале стари комбинации од кориснички имиња и лозинки кои претходно биле компромитирани во протекувања на податоци, но никогаш не биле променети.

Користењето на ROPC механизмот им овозможило да ги нападнат и организациите што имале воведено повеќефакторска автентикација (MFA), но таа не била правилно спроведена или не била конфигурирана да ги опфаќа најавувањата преку Azure CLI со ROPC.

Ова вклучувало неколку сценарија во кои MFA воопшто не се активирала:

  • MFA била задолжителна само за одредени апликации, наместо за сите cloud апликации (All Cloud Apps), поради што најавувањата преку Azure CLI не биле опфатени.
  • MFA била применета само за одредени групи корисници, како што се администраторите.
  • MFA се активирала само кога барањата доаѓале од недоверливи локации.

„Вреди да се напомене дека осум организации погодени од оваа кампања воопшто немале имплементирана MFA политика“, наведува Huntress.

„Иако напаѓачите во оваа кампања успеале да добијат пристап и покрај тоа што MFA била активирана, тоа не значи дека повеќефакторската автентикација не функционира. Наместо тоа, организациите треба да се осигураат дека нивните MFA политики се правилно конфигурирани за да го покријат начинот на авторизација што бил искористен во овие напади.“

За намалување на ризикот од вакви напади, истражувачите препорачуваат организациите:

  • да бараат MFA за сите корисници, сите cloud апликации и сите типови клиентски апликации при користење на Conditional Access Policies (CAP);
  • да го ограничат користењето на Azure CLI за корисници кои не се администратори;
  • приоритетно да реагираат врз основа на тоа дали компромитираните кориснички акредитиви сè уште се валидни.

„Овој напад открива слабости во Conditional Access политиките кои не биле правилно конфигурирани“, заклучуваат истражувачите од Huntress.

„Сè уште постојат потенцијални пропусти во начинот на кој се имплементирани овие политики, што им овозможува на напаѓачите да ги заобиколат. Еден од најочигледните проблеми е тоа што застарените протоколи, како ROPC, можат целосно да ги заобиколат лошо конфигурираните Conditional Access политики, бидејќи не поминуваат низ точката за авторизација каде што тие политики се применуваат.“

Извори:

  • The Hacker News – Azure CLI Password Spray Hits at Least 78 Microsoft Accounts in 81M+ Attempts The Hacker News