Chiến dịch tấn công Password Spray nhắm vào Azure CLI: 78 tài khoản Microsoft bị xâm nhập
Các nhà nghiên cứu cảnh báo về một chiến dịch tấn công password spray quy mô lớn nhắm vào Azure CLI, lợi dụng giao thức cũ để vượt qua các chính sách bảo mật đa yếu tố...
Các chuyên gia an ninh mạng vừa đưa ra cảnh báo về một chiến dịch tấn công password spray tự động, quy mô lớn đang diễn ra nhắm trực tiếp vào giao diện dòng lệnh (CLI) của Microsoft Azure. Cuộc tấn công này đã ghi nhận hơn 81 triệu nỗ lực đăng nhập thất bại và thành công xâm nhập ít nhất 78 tài khoản Microsoft tại 64 tổ chức khác nhau.
Table Of Content
Phương thức tấn công tinh vi
Theo báo cáo từ Huntress, chiến dịch này bắt nguồn từ dải địa chỉ IPv6 thuộc quyền quản lý của nhà cung cấp hạ tầng internet LSHIY LLC. Kẻ tấn công sử dụng các danh sách thông tin đăng nhập (combo lists) đã bị rò rỉ từ trước để thực hiện hành vi dò quét mật khẩu trên diện rộng, không phân biệt ngành nghề hay quy mô doanh nghiệp.
Điểm đáng chú ý của chiến dịch này là khả năng bypass các chính sách truy cập có điều kiện (Conditional Access Policy – CAP). Kẻ tấn công đã tận dụng một luồng OAuth cũ có tên là Resource Owner Password Credentials (ROPC). Đây là một phương thức xác thực đã bị coi là lỗi thời trong OAuth 2.1 vì không tương thích với các cơ chế bảo mật hiện đại như xác thực đa yếu tố (MFA).
Tại sao MFA bị vô hiệu hóa?
Mặc dù nhiều tổ chức bị ảnh hưởng đã thiết lập chính sách MFA, nhưng kẻ tấn công vẫn có thể xâm nhập thành công do cấu hình CAP chưa chặt chẽ. Cụ thể, các lỗ hổng trong triển khai bao gồm:
- Chỉ áp dụng MFA cho một số ứng dụng cụ thể thay vì “All Cloud Apps”, khiến Azure CLI nằm ngoài phạm vi bảo vệ.
- Chỉ yêu cầu MFA đối với các nhóm người dùng đặc quyền như Admin.
- Chỉ kích hoạt MFA khi yêu cầu đăng nhập đến từ các vị trí không tin cậy.
Thậm chí, có 8 doanh nghiệp bị tấn công hoàn toàn không có chính sách MFA nào được thiết lập.
Khuyến nghị bảo mật
Để đối phó với loại hình tấn công này, các chuyên gia khuyến cáo doanh nghiệp cần thực hiện các bước sau:
- Cấu hình CAP để yêu cầu MFA cho tất cả người dùng, tất cả ứng dụng đám mây và tất cả các loại ứng dụng khách.
- Hạn chế quyền truy cập vào ứng dụng Azure CLI đối với những người dùng không có nhu cầu quản trị.
- Rà soát và cập nhật các chính sách bảo mật để đảm bảo không bỏ sót các giao thức cũ như ROPC.
Sự việc này là lời nhắc nhở quan trọng về việc các giao thức cũ nếu không được quản lý đúng cách có thể trở thành “cánh cửa sau” cho phép kẻ tấn công vượt qua các hàng rào bảo mật hiện đại.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.