Microsoft 365 Kullanıcılarına Milyonda Bir Saldırı: Şifre Püskürtme Tehlikesi Yazılım

Microsoft 365 Kullanıcılarına Milyonda Bir Saldırı: Şifre Püskürtme Tehlikesi

Microsoft 365 kullanıcıları, tek bir IPv6 adresinden gelen ve çok faktörlü kimlik doğrulamayı atlatan şifre püskürtme saldırısının hedefi oldu.

Siber güvenlik firması Huntress, Microsoft 365 kullanıcılarını hedef alan dikkat çekici bir şifre püskürtme saldırısını ortaya çıkardı. Saldırıların tamamı, internet sağlayıcısı LSHIY LLC tarafından kontrol edilen tek bir IPv6 adres aralığından geldi. Huntress'in blog yazısına göre, LSHIY saldırıya karışan IP adreslerini kullanan müşterinin erişimini sonlandırdı.

Huntress, bir süredir şifre püskürtme saldırılarını izliyordu ve 12 Haziran'dan itibaren hafif bir artış gözlemlemişti. Ancak 22 Haziran'da ani bir yükseliş yaşandı ve 30 müşteri etkilendi. Saldırganlar, OAuth ROPC (Kaynak Sahibi Parola Kimlik Bilgileri) akışı üzerinden doğrulanmış kimlik bilgilerini yeniden kullandı. Bu yöntem, bir kullanıcı adı ve şifreyi /token uç noktasına göndererek yeni bir kullanıcı tarafından devredilen token oluşturmayı içeriyor.

Saldırının başarılı olmasının temel nedeni, çok faktörlü kimlik doğrulamanın (MFA) saldırganların kullandığı tekniklere karşı yapılandırılmamış olmasıydı. MFA eksikliği, saldırganların ele geçirdikleri kimlik bilgilerini kolayca kullanmasına olanak tanıdı. Bu olay, özellikle bulut tabanlı hizmetlerde MFA'nın zorunlu hale getirilmesinin önemini bir kez daha gözler önüne seriyor.

Uzmanlar, şifre püskürtme saldırılarına karşı kuruluşların MFA'yı etkinleştirmesi, güçlü parola politikaları uygulaması ve anormal giriş denemelerini izlemesi gerektiğini vurguluyor. Ayrıca, OAuth ROPC akışının risklerine karşı dikkatli olunması ve mümkünse bu akışın devre dışı bırakılması öneriliyor. Bu tür saldırılar, siber güvenlik önlemlerinin sürekli güncellenmesi gerektiğini hatırlatıyor.

Paylaş: