ハッカーがMicrosoft 365アカウントを標的に8100万回のログイン試行を実行

Microsoft 365環境を狙った大規模なパスワードスプレー攻撃キャンペーンが確認され、2週間で8100万回を超えるログイン試行が発生していたことが分かりました。

攻撃者はMicrosoftのAzureコマンドラインインターフェース(CLI)を介して認証を試みており、過去の情報漏えいで流出したものの依然として有効なユーザー名とパスワードの組み合わせを使用していました。

MicrosoftのAzure CLIはAzureクラウドリソースを管理するために使用されるツールで、管理者は仮想マシンの管理、アプリケーションのデプロイ、データベースの管理、クラウド運用の自動化などを行うことができます。

攻撃者は有効な組み合わせを見つけると、ROPC(Resource Owner Password Credentials)というOAuthの認証方式を使って認証を行い、多くの環境で安全性の低い条件付きアクセスポリシーが原因となり、多要素認証(MFA)を回避していました。

マネージドサイバーセキュリティ企業のHuntressは、6月12日から26日にかけて自社顧客を標的としたこのキャンペーンを観測し、攻撃者が64の組織にまたがる78件のMicrosoftアカウントを侵害したことを確認しました。

Image

「侵害を受けた企業の多くは条件付きアクセスポリシー(CAP)を通じて多要素認証(MFA)を導入していましたが、今回攻撃者が悪用したこの特定の認証フローをカバーするようには設定されていませんでした」とHuntressは説明しています

「ROPCが問題視される理由はいくつかありますが、その一つはMFAやSSOといった最新の認証フローに対応していないという点です」

「つまり、今回のキャンペーンで確認されたように、ROPCはインタラクティブなMFAプロンプトを経由せず、パスワードを直接/tokenエンドポイントに送信してしまうのです」

Huntressが指摘した具体的な設定不備には、以下のようなものがあります。

  • MFAが「すべてのクラウドアプリ」ではなく特定のアプリケーションにのみ適用されていた
  • MFAが管理者などの特定のユーザーグループにのみ強制されていた
  • MFAが信頼できない場所からのアクセス時にのみ要求され、信頼できる場所を発信元とするように見えるIPからのトラフィックを許可していた
  • ポリシーがレポート専用モードで設定されており、実質的に強制されていなかった

研究者らによると、被害を受けた組織の中にはMFAポリシーが全く存在しないケースもあったとのことです。

Weaknesses on impacted orgs

全体として、Huntressはパスワードスプレー攻撃が155倍以上に増加していることを観測しており、組織あたりの月間平均失敗ログイン試行回数は1,964回に達しています。

今回のキャンペーンの背後にいる人物は不明ですが、Huntressによると、この活動はLSHIY LLC(AS32167)が所有するIPv6アドレス範囲から発信されているとのことです。

研究者らはLSHIYの悪用報告ポータルを通じてこの調査結果を報告しましたが、レポート公開時点では回答を得られていませんでした。

攻撃者に先んじてあらゆる防御層をテスト

セキュリティチームが検知できている成功攻撃はわずか54%、アラートが発出されるのはたった14%に過ぎません。残りは環境内を検知されずに素通りしています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションがSIEMやEDRのルールをどのようにテストし、脅威が検知をすり抜けるのを防ぐかを解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/hackers-target-microsoft-365-accounts-with-81-million-login-attempts/

ソース: bleepingcomputer.com