Siber güvenlik araştırmacıları, Microsoft'un Azure komut satırı arayüzünü (CLI) hedef alan ve süreçte düzinelerce hesabı tehlikeye atan "büyük, devam eden, otomatik şifre püskürtme saldırısı" konusunda uyardı.
Huntress'e göre etkinlik, internet altyapı sağlayıcısı LSHIY LLC (AS32167) tarafından kontrol edilen bir IPv6 adres aralığından (2a0a:d683::/32) kaynaklanıyor.
Şirket yaptığı açıklamada, "12 Haziran ile 26 Haziran arasında, arkasındaki tehdit aktörü 81 milyondan fazla oturum açma girişiminde bulundu ve 64 kuruluştaki en az 78 Microsoft hesabının güvenliğini başarıyla ele geçirdi." dedi. "Bu saldırıların hedeflenmesi, tamamen ele geçirilen parola birleşik listelerindeki parola yaygınlığına dayalı gibi görünüyor ve iş türüne veya sektöre özgü değil."
Parola püskürtme saldırısını dikkate değer kılan şey yalnızca ölçeği değil, aynı zamanda ele geçirilen kuruluşların çoğunun Koşullu Erişim politikalarının etkinleştirilmiş olmasıdır. Spesifik olarak kampanyanın, Koşullu Erişim Politikası (CAP) korumalarını atlamak için Kaynak Sahibi Şifre Kimlik Bilgileri (ROPC) adı verilen, kullanımdan kaldırılmış bir OAuth akışından yararlandığı tespit edildi.
ROPC, kullanıcının doğrudan kullanıcı adını ve şifresini bir istemci uygulamasına sağladığı ve daha sonra bu kimlik bilgilerini bir erişim belirteci ile değiştirmek üzere bir yetkilendirme sunucusuna gönderdiği eski bir OAuth 2.0 yetki türüdür. OAuth 2.1'de kullanımdan kaldırıldı.
Microsoft, belgelerinde, çok faktörlü kimlik doğrulama (MFA) ile uyumsuz olduğunu öne sürerek müşterilere ROPC akışını kullanmamalarını tavsiye ediyor.
Teknoloji devi, "Çoğu senaryoda daha güvenli alternatifler mevcut ve tavsiye ediliyor" diyor. "Bu akış, uygulamada çok yüksek derecede güven gerektirir ve diğer akışlarda bulunmayan riskler taşır. Bu akışı yalnızca daha güvenli akışlar uygun olmadığında kullanmalısınız."
Kimlik bilgisi ve token sprey saldırılarının, 12 ile 21 Haziran 2026 arasında günde bir avuç başarılı oturum açmayla sonuçlandığı ve 12 kullanıcı hesabının (diğer adıyla kimliklerin) ele geçirildiği 19 Haziran hariç, günde ortalama iki ila dört hesabın ele geçirildiği söyleniyor. Sabit ritim 22 Haziran'da değişti ve 23 işletmedeki 30 kimlik etkilendi.
Kampanya kapsamında 64 kuruluşta toplam 78 kullanıcı hesabı ele geçirildi. Parola püskürtme faaliyetinin büyük çoğunluğu LSHIY LLC'den kaynaklandı. IP adreslerinden bazıları ABD'ye, bazıları ise Çin'e çözümleniyor.
Huntress, "Bu saldırılar, birkaç farklı ASN'ye yönelik büyük bir kimlik bilgisi sprey saldırıları dalgasının parçası" dedi ve müşteri tabanında kimlik bilgisi sprey saldırılarının hacminin 155 kattan fazla arttığına tanık olduğunu ekledi. "Saldırılar özellikle mayıs ayının sonundan haziran ayının başına kadar arttı ve Huntress tarafından korunan kiracı başına ayda yaklaşık 1.964 başarısız saldırının mevcut ortalama değeri ortaya çıktı."
Faaliyetin, daha önce ihlal edilmiş ancak hiçbir zaman değiştirilmemiş eski kullanıcı adı/şifre kombinasyonlarını özel olarak silah haline getirdiği görülüyor. ROPC vektörünün kullanılması, saldırganların MFA uygulayan kuruluşları hedefleyebildiği ancak bunun Azure CLI ROPC oturum açma bilgilerini hesaba katacak şekilde zorunlu kılınmadığı veya yapılandırılmadığı anlamına geliyordu.
Buna MFA'nın tetiklenmediği senaryolar da dahildi:
MFA'nın "Tüm Bulut Uygulamaları" yerine yalnızca belirli uygulamalar için zorunlu kılınması, dolayısıyla tehdit aktörleri tarafından kullanılan Azure CLI oturum açma bilgilerinin kapsanmaması
MFA'yı yalnızca Yöneticiler gibi belirli kullanıcı grupları için zorunlu kılma
MFA'yı yalnızca istekler güvenilmeyen konumlardan geldiğinde zorunlu kılma
Huntress, "Kampanyadan etkilenen sekiz işletmenin hiçbir MFA politikasının olmadığını belirtmekte fayda var" dedi. "Bu kampanyadaki tehdit aktörleri, MFA kurulmuş olmasına rağmen içeri girebilmiş olsa da, buradan çıkarılacak sonuç MFA'nın hiç çalışmadığı anlamına gelmemeli; bunun yerine kuruluşlar, MFA politikalarının bu olaylarda kullanılan yetkilendirme akışını ele alacak şekilde uygun şekilde yapılandırıldığından emin olmalıdır."
Bu tür saldırılara karşı koymak amacıyla kuruluşlara, CAP'yi etkinleştirirken Tüm Kullanıcılar, Tüm Bulut Uygulamaları ve Tüm İstemci Uygulama türleri için MFA'yı zorunlu kılmaları önerilir.
Azure CLI uygulamasını yönetici olmayan kullanıcılar için kısıtlayın ve yanıtlara kimlik bilgilerinin geçerliliğine göre öncelik verin.
Huntress araştırmacıları şu sonuca vardı: "Bu saldırı, CAP'lerdeki uygun şekilde yapılandırılmamış çatlakları ortaya çıkarıyor." "CAP'lerin nasıl konuşlandırıldığı konusunda hâlâ tehdit aktörlerinin sızmasına izin verebilecek potansiyel zayıflıklar var. Burada göze çarpan bir hata, ROPC gibi eski protokollerin, politikaların uygulandığı yetkilendirme uç noktasından geçmedikleri için bazı kötü yapılandırılmış CAP'leri tamamen atlayabilmesidir."