Et omfattende Azure-passwordsprayangreb rammer organisationer ved at misbruge en ældre godkendelsesmetode, som kan omgå fejlkonfigureret multifaktorgodkendelse (MFA). Forskere har registreret mere end 81 millioner loginforsøg i løbet af to uger. Samtidig har angriberne kompromitteret adskillige Microsoft-konti hos 64 organisationer.
Azure CLI er hovedmålet
Cybersikkerhedsvirksomheden Huntress overvåger en omfattende automatiseret kampagne med passwordsprayangreb mod Microsoft Azure Command-Line Interface (Azure CLI).
I løbet af de seneste to uger registrerede forskerne omkring 81 millioner loginforsøg mod kundernes miljøer. Kampagnen har allerede ført til, at 78 Microsoft-konti hos 64 organisationer er blevet kompromitteret. Huntress advarer samtidig om, at angrebene fortsætter med at vokse.
Virksomheden oplyser også, at denne type angreb er steget markant. I løbet af de seneste seks måneder er aktiviteten blevet 155 gange højere.
I modsætning til målrettede angreb mod bestemte brancher bygger denne kampagne på brugernavne og adgangskoder, som allerede findes i tidligere lækkede databaser. Ifølge Huntress vælger angriberne deres ofre ud fra, hvor udbredte adgangskoderne er i kompromitterede legitimationslister, og ikke ud fra branche eller virksomhedstype.
Ældre godkendelse gør det muligt at omgå MFA
Angriberne udnytter OAuth Resource Owner Password Credentials (ROPC), en forældet godkendelsesprotokol, som oprindeligt blev udviklet til betroede applikationer og ældre systemer.
ROPC kræver kun et brugernavn og en adgangskode. Hvis organisationer ikke har blokeret eller sikret denne godkendelsesproces, kan angriberne logge ind uden at udløse multifaktorgodkendelse.
Huntress opdagede, at mange af de berørte organisationer mente, at deres MFA-beskyttelse var tilstrækkelig. Deres Conditional Access Policies i Microsoft Entra ID dækkede imidlertid ikke den godkendelsesmetode, som angriberne udnyttede.
Det gjorde det muligt for angriberne at få adgang, selv i miljøer hvor MFA allerede var implementeret.
Angrebsinfrastrukturen gør det sværere at opdage angrebene
Forskerne sporede størstedelen af de ondsindede loginforsøg til AS32167, et autonomt system med forbindelse til internetudbyderen LSHIY LLC i Hongkong.
Kampagnen benytter primært IPv6-adresseområdet 2a0a:d683::/32. Samtidig har geolokaliseringsdata vist modstridende resultater. Nogle IP-adresser ser ud til at stamme fra USA, mens andre peger på Kina. Det gør IP-baseret registrering og filtrering betydeligt vanskeligere.
Derfor virkede MFA ikke
Huntress analyserede 23 organisationer, som blev ramt af kampagnen, for at forstå, hvordan angriberne kunne omgå de eksisterende sikkerhedskontroller.
Kun otte organisationer havde ingen MFA-politik. De øvrige 15 organisationer havde implementeret MFA via Conditional Access Policies i Microsoft Entra ID, men konfigurationsfejl betød, at beskyttelsen ikke fungerede efter hensigten.
Forskerne identificerede flere tilbagevendende problemer:
- Fem organisationer aktiverede kun MFA for udvalgte brugergrupper, eksempelvis administratorer. Almindelige brugerkonti var derfor ubeskyttede.
- Fire organisationer krævede kun MFA for bestemte applikationer, såsom Microsoft Admin Portals eller VPN-tjenester, i stedet for for Alle cloudapps. Azure CLI var derfor ikke omfattet.
- Fire organisationer krævede kun MFA, når brugere loggede ind fra steder uden for USA. Forkert IP-geolokalisering gjorde det muligt for angriberne at omgå disse regler.
- To organisationer kørte deres MFA-politikker i report-only-tilstand, hvilket betød, at systemet kun overvågede aktiviteten uden at håndhæve krav om multifaktorgodkendelse.
Ifølge Huntress gav disse konfigurationsfejl angriberne mulighed for at logge ind, selv om MFA var aktiveret.
Sådan kan organisationer beskytte deres Azure-miljøer
Forskerne advarer om, at den forældede ROPC-godkendelsesproces kan omgå fejlkonfigurerede Conditional Access Policies fuldstændigt.
For at reducere risikoen anbefaler de, at organisationer:
- Kræver MFA for alle brugere uden undtagelser.
- Aktiverer MFA for alle cloudapplikationer, herunder Azure CLI.
- Håndhæver godkendelsespolitikker for alle understøttede klientapplikationer.
- Begrænser adgangen til Azure CLI til administratorer og andre brugere, som reelt har behov for tjenesten.
- Gennemgår deres Conditional Access Policies regelmæssigt for at finde og rette konfigurationsfejl.
Konklusion
Det seneste Azure-passwordsprayangreb viser, hvordan forældede godkendelsesmetoder og mangelfulde MFA-konfigurationer kan svække selv stærke sikkerhedsløsninger. Mange af de ramte organisationer havde allerede indført multifaktorgodkendelse, men huller i politikkerne omkring den ældre ROPC-protokol gjorde det alligevel muligt for angriberne at logge ind. Regelmæssige gennemgange af Conditional Access Policies, udfasning af ældre godkendelsesmetoder og krav om MFA for alle brugere og applikationer er fortsat blandt de vigtigste tiltag til at beskytte Microsoft Azure-miljøer.


0 svar til “Azure-passwordsprayangreb udnytter ældre loginmetode til at omgå MFA”