Et automatiseret angreb ramte Microsoft 365 i to uger og omgik multifaktor-godkendelse hos flere virksomheder.
Mindst 78 konti fordelt på 64 organisationer blev kompromitteret, mens hackerne kværnede sig gennem over 81 millioner loginforsøg mellem 12. og 21. juni. Det viser en ny analyse fra sikkerhedsfirmaet Huntress, som har fulgt kampagnen fra dag ét.
Angrebet ramte Microsofts kommandolinjeværktøj Azure CLI, som normalt bruges af udviklere og administratorer til at styre virksomheders skymiljøer. Adgangskoderne, hackerne testede, kom fra tidligere datalæk, hvor brugere aldrig havde skiftet dem ud.
Sådan blev to-faktor omgået
Det mest bekymrende ved angrebet er, at flere af de ramte organisationer havde tændt for to-faktor-godkendelse. Angriberne udnyttede en forældet loginmetode ved navn Resource Owner Password Credentials, forkortet ROPC.
Metoden sender brugernavn og adgangskode direkte til Microsofts godkendelsesserver uden at udløse en to-faktor-prompt. Ifølge Huntress betyder det, at “ROPC ikke understøtter moderne loginmetoder som MFA eller SSO”, og at flere firmaers regler kun virkede på udvalgte apps eller brugergrupper. Otte af de ramte organisationer havde slet ingen to-faktor-politik.
Aktiviteten kom fra den russiske hosting-udbyder LSHIY LLC, oplyser SecurityWeek.
Sådan tjekker du din egen konto
Bruger du Microsoft 365 privat eller på jobbet, kan du selv se, om nogen har prøvet at logge ind på din konto. Log ind på account.microsoft.com/security og vælg “Gennemgå aktivitet”.
Her ligger de seneste 30 dages logins med tidspunkt, sted og enhed. Ser du en ukendt aktivitet, kan du markere den som “Det var ikke mig”, hvorefter Microsoft beder dig skifte adgangskode. Er du i tvivl, skift den alligevel.
Hvad du selv kan gøre
Password spray-angreb virker kun, hvis din adgangskode er svag eller genbrugt fra en anden tjeneste, der er blevet lækket. En lang og unik adgangskode — gerne genereret og gemt i en password manager — er det bedste værn.
To-faktor via SMS er bedre end intet, men en dedikeret app som Microsoft Authenticator eller Google Authenticator er mere sikker. Koder på SMS kan opsnappes, mens app-koder skifter hvert 30. sekund lokalt på din telefon.
Endelig anbefaler Huntress, at virksomheder blokerer eller kræver to-faktor for alle brugere på alle skytjenester uden undtagelser, skriver BleepingComputer.