
แคมเปญการโจมตีแบบ Password-spraying ซึ่งมุ่งเป้าไปยัง Environment ของระบบ Microsoft 365 ได้พยายามเข้าสู่ระบบมากกว่า 81 ล้านครั้งในช่วงระยะเวลาสองสัปดาห์
ผู้โจมตีพยายามยืนยันตัวตนผ่าน Azure command-line interface (CLI) ของ Microsoft โดยใช้ชุดข้อมูลสุ่มจับคู่ระหว่างชื่อผู้ใช้และรหัสผ่านที่ยังใช้งานได้ ซึ่งเคยถูกเปิดเผยในการรั่วไหลของข้อมูลในอดีต
Azure CLI ของ Microsoft ใช้สำหรับจัดการทรัพยากรบนคลาวด์ของ Azure ซึ่งช่วยให้ผู้ดูแลระบบสามารถจัดการ Virtual machines, ปรับใช้แอปพลิเคชัน, จัดการฐานข้อมูล และดำเนินการควบคุมระบบคลาวด์แบบอัตโนมัติได้
เมื่อพบชุดข้อมูลที่ถูกต้อง แฮ็กเกอร์จะยืนยันตัวตนผ่านกลไก ROPC (Resource Owner Password Credentials) OAuth ซึ่งเป็นการ bypass ระบบการยืนยันตัวตนแบบ MFA ในหลาย Environment ของระบบ เนื่องจาก Conditional Access Policy ที่ไม่ปลอดภัย
Huntress บริษัทผู้ให้บริการจัดการด้านความมั่นคงปลอดภัยไซเบอร์ ได้สังเกตพบแคมเปญนี้ที่มุ่งเป้าไปยังลูกค้าของตนระหว่างวันที่ 12 ถึง 26 มิถุนายน และยืนยันว่าผู้โจมตีได้เจาะระบบบัญชี Microsoft สำเร็จจำนวน 78 บัญชี จาก 64 องค์กร

Huntress อธิบายว่า "หลายธุรกิจที่ถูกเจาะระบบได้มีการนำการยืนยันตัวตนแบบ MFA มาใช้ผ่าน Conditional Access Policy (CAP) แต่ MFA ไม่ได้ถูกกำหนดค่าให้ครอบคลุมการทำงานเฉพาะเจาะจงในรูปแบบนี้ที่ผู้โจมตีใช้"
"ROPC ถูกมองว่ามีปัญหาด้วยเหตุผลหลายประการ แต่อีกเหตุผลคือ มันไม่ได้รองรับรูปแบบการยืนยันตัวตนสมัยใหม่ (Modern auth flows) เช่น MFA หรือ SSO"
"นั่นหมายความว่า ตามที่ได้เห็นในแคมเปญนี้ ROPC จะส่งรหัสผ่านตรงไปยัง /token endpoint โดยไม่มีการแจ้งเตือนให้ทำการยืนยันตัวตน MFA แบบ Interactive MFA prompt"
Huntress ได้ระบุถึงลักษณะการกำหนดค่าที่ผิดพลาดไว้ดังนี้:
- MFA ถูกนำไปใช้กับแอปพลิเคชันเฉพาะบางตัวเท่านั้น ไม่ได้บังคับใช้กับแอปพลิเคชันคลาวด์ทั้งหมด
- MFA ถูกบังคับใช้เฉพาะกับกลุ่มที่เลือกไว้ เช่น ผู้ดูแลระบบ
- MFA ถูกเรียกขอเฉพาะจากสถานที่ที่ไม่น่าเชื่อถือเท่านั้น ซึ่งยอมรับทราฟฟิกจาก IP ที่ดูเหมือนจะมาจากสถานที่ที่น่าเชื่อถือ
- Policy ถูกกำหนดค่าในโหมด Report-only หมายความว่า Policy เหล่านั้นไม่เคยถูกบังคับใช้จริง
ในบางกรณีที่องค์กรได้รับผลกระทบ นักวิจัยระบุว่าไม่มีการตั้ง Policy MFA เลยด้วยซ้ำ

โดยรวมแล้ว Huntress สังเกตพบการโจมตีแบบ Password-spraying เพิ่มขึ้นมากกว่า 155 เท่า โดยในปัจจุบันองค์กรต่าง ๆ มีสถิติความพยายามเข้าสู่ระบบแต่ไม่สำเร็จเฉลี่ย 1,964 ครั้ง ต่อหนึ่งองค์กรในแต่ละเดือน
ยังไม่เป็นที่แน่ชัดว่าใครอยู่เบื้องหลังแคมเปญล่าสุดนี้ แต่ Huntress ตั้งข้อสังเกตว่ากิจกรรมดังกล่าวมีต้นทางมาจาก IPv6 range ที่เป็นของผู้ให้บริการโครงสร้างพื้นฐานอินเทอร์เน็ต และบริการโฮสติ้ง LSHIY LLC (AS32167)
นักวิจัยได้เปิดเผยการค้นพบของพวกเขาให้กับ LSHIY ผ่านพอร์ทัลรายงานการละเมิดของบริษัทแล้ว แต่ยังไม่ได้รับความคืบหน้าใด ๆ ในขณะที่รายงานนี้ถูกเผยแพร่
ที่มา : Bleepingcomputer

You must be logged in to post a comment.