Siber güvenlik firması Huntress, Microsoft 365 kullanıcılarına yönelik nadir görülen bir şifre püskürtme saldırısını ortaya çıkardı. Saldırılar, internet sağlayıcısı LSHIY LLC tarafından kontrol edilen tek bir IPv6 adres aralığından gerçekleştirildi. Huntress'in blog gönderisine göre, LSHIY saldırıya karışan IP adreslerini kullanan müşterisinin erişimini sonlandırdı. Saldırı, 12 Haziran'dan itibaren artış gösterirken, 22 Haziran'da 30 müşterinin etkilenmesiyle ani bir yükseliş yaşandı.
Saldırganlar, OAuth ROPC (Kaynak Sahibi Parola Kimlik Bilgileri) akışı aracılığıyla doğrulanmış kimlik bilgilerini tekrar kullandı. Bu yöntem, bir kiracının /token uç noktasına kullanıcı adı/şifre gönderilmesini ve doğru kimlik bilgileri sağlandığında yeni bir kullanıcı temsilci tokeni oluşturulmasını içeriyor. Bu saldırı, çok faktörlü kimlik doğrulamanın (MFA) saldırganların kullandığı teknikleri engelleyecek şekilde yapılandırılmamış olması nedeniyle mümkün oldu.
Huntress, bu tür saldırıları bir süredir izlediklerini ve 12 Haziran'dan itibaren hafif bir artış gözlemlediklerini, ardından 22 Haziran'da 30 müşterinin etkilenmesiyle ani bir sıçrama yaşandığını belirtti. Saldırı, 'bir milyonda bir' olarak nitelendirilen nadir bir şifre püskürtme saldırısı olarak tanımlandı. Şifre püskürtme saldırıları, genellikle zayıf veya yaygın şifreleri hedef alarak birden fazla hesaba aynı şifreyi dener.
Nasıl Önlem Alınmalı?
Bu olay, kuruluşların çok faktörlü kimlik doğrulamayı doğru şekilde yapılandırmasının ve OAuth gibi modern kimlik doğrulama protokollerinin güvenlik açıklarını anlamasının önemini vurguluyor. Huntress, müşterilere MFA'yı tüm kullanıcılar için zorunlu kılmalarını ve özellikle ROPC akışı gibi daha az güvenli OAuth akışlarını devre dışı bırakmalarını tavsiye ediyor.