Uma campanha agressiva de password spraying contra ambientes Microsoft 365 gerou mais de 81 milhões de tentativas de login ao longo de duas semanas.
O threat actor tentou se autenticar por meio da interface de linha de comando do Azure da Microsoft, usando combinações de nome de usuário e senha que ainda eram válidas, mas haviam sido expostas em vazamentos anteriores.
A CLI do Azure é usada para gerenciar recursos do cloud da Microsoft, permitindo que administradores administrem máquinas virtuais, implantem aplicações, gerenciem bancos de dados e automatizem operações em nuvem.
Assim que encontrava um par válido, o hacker concluía a autenticação por meio do mecanismo OAuth ROPC, sigla para Resource Owner Password Credentials, contornando a MFA em muitos ambientes devido a políticas inseguras de Acesso Condicional.
A empresa de cibersegurança gerenciada Huntress observou a campanha atingir seus clientes entre 12 e 26 de junho e confirmou que o threat actor comprometeu 78 contas Microsoft em 64 organizações.
“Muitas das empresas comprometidas tinham implementado MFA por meio de uma Política de Acesso Condicional, mas a MFA não estava configurada para cobrir esse fluxo específico usado pelos atacantes”, explicou a Huntress.
“O ROPC é considerado problemático por várias razões, e uma delas é que ele não oferece suporte a fluxos modernos de autenticação, como MFA ou SSO.”
“Isso significa que, como visto nesta campanha, o ROPC envia a senha diretamente ao endpoint /token, sem qualquer solicitação interativa de MFA.”
Entre as configurações incorretas destacadas pela Huntress estão:
- A MFA era aplicada apenas a aplicativos específicos, e não a Todos os Aplicativos na Nuvem.
- A MFA era exigida apenas para grupos específicos de usuários, como administradores.
- A MFA só era solicitada a partir de locais não confiáveis, permitindo tráfego de IPs que pareciam vir de locais confiáveis.
- Políticas configuradas em modo de relatório, o que significava que nunca eram realmente aplicadas.
Em alguns casos em que organizações foram afetadas, os pesquisadores afirmam que não havia nenhuma política de MFA.
No total, a Huntress observou um aumento de mais de 155 vezes nos ataques de password spraying, com as organizações registrando agora, em média, 1.964 tentativas malsucedidas de login por tenant a cada mês.
Ainda não está claro quem está por trás da campanha mais recente, mas a Huntress afirma que a atividade se origina de uma faixa de IPv6 pertencente à LSHIY LLC (AS32167).
Os pesquisadores informaram suas descobertas à LSHIY por meio do portal de denúncia de abuso da empresa, mas não haviam recebido resposta até o momento da publicação do relatório.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...