Azure CLI, 64 Kuruluştaki LSHIY Parola Spreyi Kampanyasında Hedeflendi Dünya Geneli

Azure CLI, 64 Kuruluştaki LSHIY Parola Spreyi Kampanyasında Hedeflendi

Azure CLI, 64 Kuruluştaki LSHIY Parola Spreyi Kampanyasında Hedeflendi Pierluigi Paganini 01 Temmuz 2026 01 Temmuz 2026 81 Milyon Oturum Açma Deneme...

Azure CLI, 64 Kuruluştaki LSHIY Parola Spreyi Kampanyasında Hedeflendi

Pierluigi Paganini 01 Temmuz 2026 01 Temmuz 2026

81 Milyon Oturum Açma Denemesi, 78 Ele Geçirilmiş Hesap: LSHIY Parola Spreyi Azure CLI'yi Etkiliyor

Huntress araştırmacıları, 12 Haziran 2026'dan bu yana Microsoft Azure CLI ortamlarına karşı büyük bir otomatik şifre sprey kampanyasını izliyor.

Parola püskürtme saldırısı, saldırganların tek bir hesapta çok sayıda parola yerine birden çok hesapta az sayıda ortak parolayı denemesidir. Bu, zayıf veya yeniden kullanılan parolalardan yararlanırken kilitlenmelerin önlenmesine yardımcı olur. Genellikle büyük ölçekli hesap ele geçirme girişimlerinde kullanılır.

Saldırganlar, on dört gün içinde Huntress müşteri hesaplarına karşı 81 milyondan fazla oturum açma girişiminde bulundu ve 64 kuruluştaki 78 Microsoft hesabına başarıyla girdi. Geçen hafta bu hız keskin bir şekilde arttı: Yalnızca 22 Haziran'da, tek bir günde 23 işletmedeki 30 kullanıcı hesabının güvenliği ihlal edildi.

Trafiğin neredeyse tamamı, AS32167'ye kayıtlı bir internet altyapı sağlayıcısı olan LSHIY LLC tarafından kontrol edilen 2a0a:d683::/32 IPv6 aralığından kaynaklanmaktadır.

"LSHIY, farklı ASN'ler için çalışıyor: AS32167'ye (14 Haziran 2021'de tescil edildi) ek olarak, aynı zamanda AS955'i de (22 Haziran 2022'de tescil edildi) çalıştırıyor. Üçüncü taraflar, bu otonom sistemlerin her ikisiyle ilişkili IPv6 aralıklarının Çin menşeli olduğunu bildiriyor. Bu IPv6 ilgi aralığını daha ayrıntılı bir şekilde araştırdıktan sonra Huntress, Haziran ayında oluşturulan bir bakımcıdan gelen bir adres de dahil olmak üzere, bu aralıkta yeni olan belirli IPv6 adresleri buldu. 11, 2026.” Huntress tarafından yayınlanan raporu okur.

LSHIY, Hong Kong ve Wuhan'daki iki fabrika binasındaki ve New York'taki ortak bir ofis kiralama alanındaki iş adreslerini listeliyor. Huntress, etkinliği şirketin kötüye kullanım kanalı aracılığıyla bildirdi ancak yanıt alamadı.

Saldırganın yöntemi basit ve etkilidir. Kimlik bilgilerini etkileşimli MFA istemi olmadan doğrudan /token uç noktasına gönderen Kaynak Sahibi Parola Kimlik Bilgileri hibe türü olan OAuth ROPC akışına karşı ihlal verilerinden eski kullanıcı adı ve parola birleşimlerini yeniden oynatırlar.

"Kampanyada, tehdit aktörleri doğrulanmış kimlik bilgilerini OAuth ROPC (Kaynak Sahibi Parola Kimlik Bilgileri) akışı aracılığıyla yeniden oynattı. ROPC, OAuth 2.1'de kullanımdan kaldırılan bir OAuth 2.0 verme türüdür. Bu kimlik doğrulama akışı, bir kiracı için /token uç noktasında bir kullanıcı adı/parola alır ve doğru kimlik bilgileri sağlandıktan sonra kullanıcı tarafından atanan yeni bir belirteç basar." rapora devam ediyor. "Bu önemli çünkü ele geçirilen işletmelerin çoğu, Koşullu Erişim Politikası (CAP) aracılığıyla çok faktörlü kimlik doğrulamayı (MFA) uygulamıştı, ancak MFA, saldırganların kullandığı bu özel akışı kapsayacak şekilde yapılandırılmadı."

ROPC modern kimlik doğrulama akışlarını desteklemediğinden hiçbir MFA sorgulaması başlatılmaz, bu da onu özel olarak engellememiş kuruluşlar için etkili bir geçiş haline getirir.

İşte her Microsoft 365 yöneticisini rahatsız etmesi gereken kısım. 22 Haziran'da etkilenen 23 işletmeden 15'inde MFA, Koşullu Erişim Politikası yoluyla zorunlu kılındı. Onlara yardımcı olmadı.

"22 Haziran'da 23 işletmeyi etkileyen saldırılardaki ani artışı analiz ederken, bu şirketlerin 15'inde MFA'nın CAP aracılığıyla uygulandığını ve zorunlu kılındığını gördük." Raporda şöyle belirtiliyor: “Ancak bu örgütler kendilerinin Dışişleri Bakanlığı tarafından korunduğunu düşünürken, bu kampanya sırasında Dışişleri Bakanlığı çeşitli nedenlerle ateş açmadı.”

Bazılarında MFA, tüm bulut uygulamaları yerine Microsoft Yönetici Portalları gibi belirli uygulamaları kapsamına alıyordu. Diğerleri MFA'yı normal kullanıcılar için değil, yalnızca yönetici hesapları için zorunlu kıldı. Birkaçı MFA'yı yalnızca güvenilmeyen konumlardan tetikledi ve araca bağlı olarak Çin ve Nebraska arasında tutarsız bir şekilde coğrafi konumlandırılan saldırganın IP adresleri güvenilir konum kontrolünden geçti. İki kuruluşun MFA'sı salt rapor modundaydı; bu da onun kurulduğu ancak hiçbir zaman uygulanmadığı anlamına geliyordu. Etkilenen sekiz işletmenin hiçbir MFA politikası yoktu.

Bu tür saldırıların hacmi yeni değil ancak hızla artıyor. Son altı ayda Huntress itibar gördü

Potansiyel sprey saldırıları müşteri tabanında 155 kattan fazla artış gösteriyor; şu anda korunan kiracı başına aylık yaklaşık 1.964 başarısız girişim söz konusu. Hedefleme, iş sektörü veya boyutundan ziyade, güvenliği ihlal edilmiş şifre listelerinde en sık hangi kimlik bilgilerinin göründüğüne göre yönlendirilen, tamamen fırsatçı görünüyor.

Düzeltme karmaşık değildir ancak hassasiyet gerektirir. Koşullu Erişim Politikalarının istisnasız tüm kullanıcıları, tüm bulut uygulamalarını ve tüm istemci uygulama türlerini kapsaması gerekir; bu kampanyanın istismar ettiği şey kısmi kapsamdır. userStrongAuthClientAuthNRequired ayarının etkinleştirilmesi, istemci düzeyinde güçlü kimlik doğrulamayı zorunlu kılar ve ROPC akışlarını doğrudan engeller. Yönetici olmayan kullanıcılar için Azure CLI erişimini kısıtlamak başka bir saldırı yüzeyini ortadan kaldırır. Huntress, tespit tarafında ise yalnızca püskürtme hacmine dayalı tepki tetiklemenin savunucuları en çok püskürtülen ve en az tehlikeye atılan kiracılara yönlendirdiğini belirtiyor; Kimlik bilgilerinin geçerliliğine göre önceliklendirme daha etkilidir.

"Burada göze çarpan bir hata, ROPC gibi eski protokollerin, politikaların uygulandığı yetkilendirme uç noktasından geçmedikleri için kötü yapılandırılmış bazı CAP'leri tamamen atlayabilmeleridir. Ancak yukarıda özetlenen diğer sorunlardan bazıları (yanlış yapılandırılmış güvenilir konumlar veya kullanıcı grupları gibi) da boşluklara yol açabilir." raporu sonuçlandırıyor.

Beni Twitter'da takip edin: @securityaffairs ve Facebook ve Mastodon

Pierluigi Paganini

(SecurityAffairs – bilgisayar korsanlığı, şifre sprey kampanyası)

Paylaş: