Et omfattende Azure-passordsprayangrep retter seg mot organisasjoner ved å misbruke en eldre autentiseringsmetode som kan omgå feilkonfigurert flerfaktorautentisering (MFA). Forskere har registrert over 81 millioner innloggingsforsøk i løpet av to uker. Samtidig har angriperne kompromittert flere Microsoft-kontoer hos 64 organisasjoner.

Azure CLI er hovedmålet

Cybersikkerhetsselskapet Huntress følger en omfattende, automatisert kampanje med passordsprayangrep mot Microsoft Azure Command-Line Interface (Azure CLI).

I løpet av de siste to ukene registrerte forskerne rundt 81 millioner innloggingsforsøk mot kundenes miljøer. Kampanjen har allerede ført til at 78 Microsoft-kontoer hos 64 organisasjoner er kompromittert. Huntress advarer samtidig om at angrepene fortsetter å øke i omfang.

Selskapet opplyser også at denne typen angrep har økt kraftig. I løpet av de siste seks månedene har aktiviteten blitt 155 ganger høyere.

I motsetning til målrettede angrep mot bestemte bransjer bygger denne kampanjen på brukernavn og passord som allerede finnes i tidligere lekkede legitimasjonslister. Ifølge Huntress velger angriperne ofrene sine ut fra hvor utbredte passordene er i lekkede databaser, ikke ut fra bransje eller virksomhet.

Eldre autentisering gjør det mulig å omgå MFA

Angriperne utnytter OAuth Resource Owner Password Credentials (ROPC), en foreldet autentiseringsprotokoll som opprinnelig ble utviklet for betrodde applikasjoner og eldre systemer.

ROPC krever kun et brukernavn og et passord. Dersom organisasjoner ikke har blokkert eller sikret denne autentiseringsflyten, kan angriperne logge inn uten at flerfaktorautentisering blir utløst.

Huntress oppdaget at mange av de berørte organisasjonene trodde MFA-beskyttelsen deres var tilstrekkelig. Conditional Access Policies i Microsoft Entra ID omfattet imidlertid ikke autentiseringsmetoden som angriperne misbrukte.

Dermed kunne angriperne få tilgang selv i miljøer hvor MFA allerede var tatt i bruk.

Angrepsinfrastrukturen gjør oppdagelse vanskeligere

Forskerne sporet de fleste ondsinnede innloggingsforsøkene til AS32167, et autonomt system knyttet til internettleverandøren LSHIY LLC i Hongkong.

Kampanjen bruker hovedsakelig IPv6-adresseområdet 2a0a:d683::/32. Samtidig har geolokaliseringsdata gitt motstridende resultater. Noen IP-adresser peker mot USA, mens andre ser ut til å komme fra Kina. Det gjør IP-basert oppdagelse og filtrering betydelig vanskeligere.

Derfor fungerte ikke MFA

Huntress undersøkte 23 organisasjoner som ble rammet av kampanjen for å finne ut hvordan angriperne klarte å omgå de eksisterende sikkerhetskontrollene.

Kun åtte organisasjoner manglet en MFA-policy. De øvrige 15 organisasjonene hadde innført MFA gjennom Conditional Access Policies i Microsoft Entra ID, men konfigurasjonsfeil gjorde at beskyttelsen ikke fungerte som den skulle.

Forskerne identifiserte flere gjentakende problemer:

  • Fem organisasjoner aktiverte bare MFA for utvalgte brukergrupper, for eksempel administratorer. Vanlige brukerkontoer sto derfor ubeskyttet.
  • Fire organisasjoner krevde kun MFA for bestemte applikasjoner, som Microsoft Admin Portals eller VPN-tjenester, i stedet for for Alle skyapper. Azure CLI var derfor ikke omfattet.
  • Fire organisasjoner krevde bare MFA når brukere logget inn fra steder utenfor USA. Feil IP-geolokalisering gjorde det mulig for angriperne å omgå disse reglene.
  • To organisasjoner kjørte MFA-policyene sine i report-only-modus, noe som betydde at systemet bare overvåket aktiviteten uten å håndheve krav om flerfaktorautentisering.

Ifølge Huntress ga disse konfigurasjonsfeilene angriperne mulighet til å logge inn selv om MFA var aktivert.

Slik kan organisasjoner beskytte Azure-miljøene sine

Forskerne advarer om at den foreldede ROPC-flyten kan omgå feilkonfigurerte Conditional Access Policies fullstendig.

For å redusere risikoen anbefaler de at organisasjoner:

  • Krever MFA for alle brukere uten unntak.
  • Aktiverer MFA for alle skyapplikasjoner, inkludert Azure CLI.
  • Håndhever autentiseringspolicyer for alle støttede klientapplikasjoner.
  • Begrenser tilgangen til Azure CLI til administratorer og andre brukere som faktisk trenger tjenesten.
  • Gjennomgår Conditional Access Policies regelmessig for å oppdage og rette konfigurasjonsfeil.

Konklusjon

Det siste Azure-passordsprayangrepet viser hvordan foreldede autentiseringsmetoder og mangelfulle MFA-konfigurasjoner kan svekke selv gode sikkerhetsløsninger. Mange av de rammede organisasjonene hadde allerede innført flerfaktorautentisering, men svakheter i policyene rundt den eldre ROPC-protokollen gjorde det likevel mulig for angriperne å logge inn. Regelmessige gjennomganger av Conditional Access Policies, utfasing av eldre autentiseringsmetoder og krav om MFA for alle brukere og applikasjoner er fortsatt blant de viktigste tiltakene for å beskytte Microsoft Azure-miljøer.


0 responses to “Azure-passordsprayangrep utnytter eldre innloggingsmetode for å omgå MFA”