Microsoft 365-gebruikers slachtoffer van grootschalige wachtwoord-sprayaanval

De aanval maakte gebruik van eerder buitgemaakte inloggegevens en zwakke plekken in de multifactorauthenticatie-instellingen van bedrijven.

Microsoft-gebruikers zijn getroffen door een enorme, geautomatiseerde wachtwoord-sprayaanval.

Onder de getroffen slachtoffers bevonden zich ook klanten van beveiligingsbedrijf Huntress. Volgens dat bedrijf probeerden de aanvallers tussen 12 en 26 juni maar liefst 81 miljoen keer in te loggen op accounts van zijn klanten. Daarbij slaagden zij in ten minste 78 gevallen.

En dat betreft alleen de aanvallen op Microsoft-accountgebruikers die toevallig ook klant zijn van Huntress. Het aantal gecompromitteerde accounts kan veel hoger liggen, omdat een wachtwoord-sprayaanval erop is gericht om willekeurig en op grote schaal inlogpogingen uit te voeren.

Volgens Huntress kwamen alle aanvallen van één bron: een IPv6-adresreeks die werd beheerd door internetprovider LSHIY LLC. Inmiddels heeft LSHIY de toegang ingetrokken voor de klant die de betrokken IP-adressen gebruikte.

Huntress hield sprayaanvallen al enige tijd in de gaten en zag vanaf 12 juni een lichte toename. Op 22 juni volgde een plotselinge piek, waarbij 30 van zijn klanten werden getroffen.

De aanvallers gebruikten eerder gevalideerde inloggegevens opnieuw via de OAuth ROPC-stroom (Resource Owner Password Credentials). Daarbij wordt een gebruikersnaam en wachtwoord via het /token-eindpunt van een tenant ingevoerd, waarna een nieuw token namens de gebruiker wordt aangemaakt, mits de juiste gegevens worden verstrekt. Dit was mogelijk omdat multifactorauthenticatie (MFA) niet was ingesteld om de technieken van de aanvallers te blokkeren.

Volgens Huntress kwam dit in sommige gevallen doordat MFA was afgedwongen voor specifieke apps in plaats van voor alle cloudapps. Sommige organisaties hadden MFA bijvoorbeeld alleen ingesteld voor Microsoft Admin Portals, waardoor de Azure CLI-aanmeldingen die de aanvaller gebruikte niet werden afgedekt.

In andere gevallen was MFA alleen ingeschakeld voor specifieke gebruikersgroepen, zoals alleen beheerders. De getroffen gebruikers vielen niet binnen de scope van die groepen.

  • Eater

    vraag en ik antwoord

    Related Posts

    Microsoft 365-gebruikers slachtoffer van grootschalige wachtwoord-sprayaanval

    De aanval maakte gebruik van eerder buitgemaakte inloggegevens en zwakke plekken in de multifactorauthenticatie-instellingen van bedrijven. Microsoft-gebruikers zijn getroffen door een enorme, geautomatiseerde wachtwoord-sprayaanval. Onder de getroffen slachtoffers bevonden zich…

    Ultramarine 44 nu beschikbaar met Fedora Linux 44, Linux kernel 7.0 en KDE Plasma 6.7

    Ultramarine 44 is vandaag uitgebracht door Jaiden Riordan en is de nieuwste versie van deze GNU/Linux-distributie, die is gebaseerd op Fedora Linux en standaard wordt geleverd met de KDE Plasma-desktopomgeving.De…

    Geef een reactie