Microsoft 365 kullanıcıları, siber güvenlik firması Huntress tarafından tespit edilen ve 'bir milyonda bir' olarak nitelendirilen bir parola püskürtme saldırısının hedefi oldu. Saldırıların tamamı, internet sağlayıcısı LSHIY LLC tarafından kontrol edilen tek bir IPv6 adres aralığından gerçekleştirildi. Huntress, LSHIY'in saldırıda kullanılan IP adreslerine sahip müşterinin erişimini sonlandırdığını duyurdu.
Huntress, parola püskürtme saldırılarını bir süredir izliyordu ve 12 Haziran'dan itibaren hafif bir artış gözlemlemişti. Ancak 22 Haziran'da, 30 müşterisinin etkilenmesiyle birlikte ani bir sıçrama yaşandı. Saldırganlar, doğrulanmış kimlik bilgilerini OAuth ROPC (Resource Owner Password Credentials) akışı üzerinden tekrar kullandı. Bu yöntem, bir kiracının /token uç noktasına kullanıcı adı/parola göndererek, doğru bilgiler sağlandığında yeni bir kullanıcı temsilci tokeni oluşturmayı içeriyor.
Saldırının başarılı olmasının temel nedeni, çok faktörlü kimlik doğrulamanın (MFA) saldırganların kullandığı tekniklere karşı yapılandırılmamış olmasıydı. Huntress, MFA'nın doğru şekilde uygulanmasının bu tür saldırıları engelleyebileceğini vurguluyor. Parola püskürtme saldırıları, aynı parolaları birçok farklı hesapta deneyerek zayıf kimlik bilgilerini hedef alır ve genellikle MFA gibi ek güvenlik önlemleriyle durdurulabilir.
Bu olay, kuruluşların MFA'yı sadece etkinleştirmekle kalmayıp, aynı zamanda tüm kimlik doğrulama akışlarını kapsayacak şekilde yapılandırmaları gerektiğini bir kez daha hatırlatıyor. Huntress, kullanıcıların güçlü parolalar kullanması ve MFA'yı tüm hesap türleri için zorunlu kılması gerektiğini belirtiyor. Ayrıca, şirketlerin OAuth ROPC akışı gibi eski yöntemleri devre dışı bırakarak güvenlik duruşlarını iyileştirebileceğini öneriyor.