Οι δύο αναμφισβήτητες αλήθειες στον κόσμο της κυβερνοασφάλειας είναι ότι η Microsoft είναι ένας κορυφαίος στόχος για τους χάκερς και ότι η 2FA αυθεντικοποίηση είναι ένα εμπόδιο που μισούν να συναντούν, σύμφωνα με το Forbes.
Μια πρόσφατα αναφερθείσα καμπάνια επίθεσης «password spray and pray» εκμεταλλεύεται αυτές τις αλήθειες, στοχεύοντας του λογαριασμούς Microsoft 365 που εξακολουθούν να χρησιμοποιούν την τώρα καταργημένη βασική προστασία αυθεντικοποίησης.
Η επίθεση Password Spray and Pray
Ένα botnet που περιλαμβάνει τουλάχιστον 130.000 συσκευές που έχουν παραβιαστεί από μια «ομάδα πιθανώς κινεζικής προέλευσης», σύμφωνα με τους ερευνητές της SecurityScorecard, έχει αναλάβει μια εκτενή καμπάνια hacking κωδικών πρόσβασης κατά των λογαριασμών Microsoft 365.
Για να παρακάμψει τις προστασίες σύνδεσης όπως ο έλεγχος ταυτότητας δύο παραγόντων (2FA), η επίθεση στοχεύει σε μη διαδραστικά sign-ins με Βασική Αυθεντικοποίηση, κάτι που έχει καταργηθεί εδώ και καιρό από τη Microsoft ακριβώς λόγω των ζητημάτων ανασφάλειας.
«Αυτή η τακτική έχει παρατηρηθεί σε πολλούς χρήστες του Microsoft 365 παγκοσμίως», δήλωσαν οι ερευνητές, «υποδεικνύοντας μια ευρείας κλίμακας και σε εξέλιξη απειλή».
Καθώς οι επιθέσεις καταγράφονται σε αυτά τα μη διαδραστικά logs σύνδεσης, συχνά παραβλέπονται από τις ομάδες ασφαλείας, δημιουργώντας ένα κενό ασφάλειας που επιτρέπει στους δράστες να διεξάγουν τέτοιες καμπάνιες hacking κωδικών πρόσβασης σε μεγάλη κλίμακα σχεδόν απαρατήρητα.
«Οι μη διαδραστικές συνδέσεις, οι οποίες χρησιμοποιούνται συνήθως για την αυθεντικοποίηση υπηρεσίας προς υπηρεσία, παλαιότερα πρωτόκολλα και αυτοματοποιημένες διαδικασίες», ανέφερε η SecurityScorecard, «δεν ενεργοποιούν την 2FA σε πολλές ρυθμίσεις». Το πρόβλημα είναι ότι η βασική αυθεντικοποίηση είναι ακόμα ενεργοποιημένη σε ορισμένα περιβάλλοντα, πράγμα που σημαίνει ότι οι κωδικοί πρόσβασης μεταδίδονται σε απλή μορφή.
Ενώ η Microsoft έχει αρχίσει την κατάργηση της βασικής αυθεντικοποίησης, οι ερευνητές ανέφεραν ότι δε θα αποσυρθεί πλήρως μέχρι τον Σεπτέμβριο του 2025. «Παρά την τρέχουσα διαδικασία καταργήσεως, η συμπεριφορά που περιγράφεται σε αυτήν την αναφορά παρουσιάζει άμεση απειλή».
Μετριασμός των επιθέσεων Password Spraying Microsoft 365
Η αναφορά της SecurityScorecard προτείνει ότι η δραστηριότητα του botnet θα πρέπει να οδηγήσει τους οργανισμούς να προτεραιοποιήσουν την κατάργηση της βασικής αυθεντικοποίησης, να παρακολουθούν προληπτικά τα πρότυπα σύνδεσης και να εφαρμόσουν ισχυρούς μηχανισμούς ανίχνευσης για τέτοιες επιθέσεις password-spraying.
«Η χρήση των μη διαδραστικών logs σύνδεσης για την αποφυγή της MFA και πιθανώς των Πολιτικών Πρόσβασης», δήλωσαν οι ερευνητές, «υπογραμμίζει την ανάγκη των οργανισμών να επαναξιολογήσουν τις στρατηγικές αυθεντικοποίησής τους».
«Οι κωδικοί πρόσβασης συνήθως συλλέγονται από dumps διαπιστευτηρίων, στους οποίους οι επιτιθέμενοι έχουν πρόσβαση από το Dark Web», δήλωσε ο Boris Cipot, ανώτερος μηχανικός ασφάλειας στη Black Duck. «Για να αποφύγουν τις προστασίες brute-force, οι επιτιθέμενοι περιορίζουν τις δοκιμές κωδικών πρόσβασης στους λογαριασμούς χρηστών για να αποτρέψουν τις πολιτικές κλειδώματος».
Για να μειωθεί ο κίνδυνος τέτοιων επιθέσεων, ο Cipot ανέφερε ότι οι οργανισμοί πρέπει να αναπτύξουν πολιτικές πρόσβασης βασισμένες σε γεωγραφική τοποθεσία και συμμόρφωση συσκευής. «Για να γίνει η σύνδεση πιο ασφαλής», κατέληξε ο Cipot, «η πολυπαραγοντική αυθεντικοποίηση ή η αυθεντικοποίηση με βάση πιστοποιητικά προσφέρει ένα επιπλέον επίπεδο ασφάλειας».
Έτσι, αν δεν θέλετε οι προσευχές των χάκερ να απαντηθούν, γνωρίζετε τι πρέπει να κάνετε.