Các nhà nghiên cứu an ninh mạng đã cảnh báo về một "cuộc tấn công password spray tự động, quy mô lớn và đang diễn ra" nhằm vào Azure CLI (giao diện dòng lệnh) của Microsoft, làm xâm phạm hàng chục tài khoản trong quá trình này.
Theo Huntress, hoạt động này bắt nguồn từ một dải địa chỉ IPv6 (2a0a:d683::/32) được kiểm soát bởi nhà cung cấp cơ sở hạ tầng internet LSHIY LLC (AS32167).
"Từ ngày 12 tháng 6 đến ngày 26 tháng 6, kẻ tấn công đứng sau chiến dịch này đã thực hiện hơn 81 triệu lần thử đăng nhập và xâm nhập thành công ít nhất 78 tài khoản Microsoft tại 64 tổ chức," công ty cho biết trong một thông báo. "Mục tiêu của các cuộc tấn công này dường như hoàn toàn dựa trên mức độ phổ biến của mật khẩu trong các danh sách kết hợp mật khẩu bị rò rỉ, và không nhắm vào loại hình kinh doanh hay ngành công nghiệp cụ thể nào."
Điều làm cho cuộc tấn công password spray này đáng chú ý không chỉ ở quy mô, mà còn ở thực tế là nhiều tổ chức bị xâm phạm đã bật các chính sách Conditional Access. Cụ thể, chiến dịch đã được phát hiện lợi dụng một luồng OAuth đã bị loại bỏ có tên là Resource Owner Password Credentials (ROPC) để vượt qua các lớp bảo vệ của Conditional Access Policy (CAP).
ROPC là một loại cấp phép OAuth 2.0 cũ, nơi người dùng cung cấp trực tiếp tên người dùng và mật khẩu của họ cho một ứng dụng khách, sau đó ứng dụng này sẽ gửi các thông tin xác thực đó đến máy chủ ủy quyền để đổi lấy access token. Nó đã bị loại bỏ trong OAuth 2.1.
Khuyến cáo từ Microsoft về ROPC
Trong tài liệu của mình, Microsoft khuyến cáo khách hàng không nên sử dụng ROPC, lập luận rằng nó không tương thích với MFA (xác thực đa yếu tố).
"Trong hầu hết các kịch bản, các lựa chọn thay thế an toàn hơn luôn có sẵn và được khuyến nghị," gã khổng lồ công nghệ cho biết. "Luồng này đòi hỏi mức độ tin cậy rất cao đối với ứng dụng và mang lại những rủi ro không có trong các luồng khác. Bạn chỉ nên sử dụng luồng này khi các luồng an toàn hơn không khả thi."
Các cuộc tấn công credential và token spray được cho là đã dẫn đến một số ít lần đăng nhập thành công mỗi ngày từ ngày 12 đến 21 tháng 6 năm 2024, trung bình có từ hai đến bốn tài khoản bị xâm phạm hàng ngày, ngoại trừ ngày 19 tháng 6, khi có 12 tài khoản người dùng (còn gọi là định danh) bị chiếm đoạt. Tốc độ ổn định này đã thay đổi vào ngày 22 tháng 6, với 30 định danh tại 23 doanh nghiệp bị ảnh hưởng.
Tổng cộng, 78 tài khoản người dùng đã bị xâm phạm tại 64 tổ chức như một phần của chiến dịch. Phần lớn hoạt động password spray bắt nguồn từ LSHIY LLC. Một số địa chỉ IP được xác định ở Hoa Kỳ, trong khi một số khác ở Trung Quốc.
"Những cuộc tấn công này là một phần của làn sóng tấn công credential spray lớn trên một vài ASN khác nhau," Huntress cho biết, đồng thời thêm rằng họ đã chứng kiến khối lượng tấn công credential spray tăng vọt hơn 155 lần trên toàn bộ cơ sở khách hàng của mình. "Các cuộc tấn công tăng mạnh đặc biệt vào cuối tháng 5 đến đầu tháng 6."
Lỗ hổng trong cấu hình MFA và CAP
Hoạt động này dường như vũ khí hóa cụ thể các tổ hợp tên người dùng/mật khẩu cũ đã bị rò rỉ trước đó nhưng chưa bao giờ được thay đổi. Việc sử dụng vector ROPC có nghĩa là những kẻ tấn công có thể nhắm mục tiêu vào các doanh nghiệp đã triển khai MFA, nhưng nó không được thực thi hoặc cấu hình để tính đến các lần đăng nhập Azure CLI ROPC.
Điều này bao gồm các tình huống mà MFA không được kích hoạt:
- Chỉ thực thi MFA cho các ứng dụng cụ thể, thay vì "All Cloud Apps," do đó không bao quát được các lần đăng nhập Azure CLI mà kẻ tấn công sử dụng.
- Chỉ thực thi MFA cho các nhóm người dùng cụ thể, chẳng hạn như Admins.
- Chỉ thực thi MFA khi các yêu cầu bắt nguồn từ các vị trí không đáng tin cậy.
"Đáng lưu ý là 8 doanh nghiệp bị ảnh hưởng bởi chiến dịch này hoàn toàn không có chính sách MFA," Huntress nói. "Mặc dù kẻ tấn công trong chiến dịch này có thể xâm nhập mặc dù MFA đã được thiết lập, nhưng bài học rút ra không phải là MFA không hiệu quả; thay vào đó, các tổ chức nên đảm bảo rằng các chính sách MFA của họ được cấu hình đúng cách để giải quyết luồng xác thực được sử dụng trong các sự cố này."
Biện pháp khắc phục
Để chống lại kiểu tấn công này, các tổ chức được khuyên nên yêu cầu MFA cho All Users (Tất cả người dùng), All Cloud Apps (Tất cả ứng dụng đám mây) và All Client App types (Tất cả các loại ứng dụng khách) khi bật CAP, hạn chế ứng dụng Azure CLI cho những người dùng không phải quản trị viên và ưu tiên phản ứng theo hiệu lực của thông tin xác thực.
"Cuộc tấn công này để lộ những vết nứt trong CAP chưa được cấu hình phù hợp," các nhà nghiên cứu của Huntress kết luận. "Vẫn còn những điểm yếu tiềm ẩn trong cách triển khai CAP có thể cho phép kẻ tấn công lọt qua. Một sai lầm rõ ràng ở đây là các giao thức cũ như ROPC có thể vượt qua hoàn toàn một số CAP được cấu hình kém vì chúng không đi qua điểm cuối ủy quyền nơi các chính sách được thực thi."