Lühidalt: Ründajad hoidsid mitmikautentimisest kõrvale MFA-d mittetoetava ROPC-protokolli abil, kuna paljud organisatsioonid olid oma tingimusliku juurdepääsu põhimõtted puudulikult seadistanud.
Huntressi turvateadlased dokumenteerisid ulatusliku paroolipritsimise rünnaku Azure CLI vastu, mille käigus ründajad kasutasid aegunud ROPC-autentimismeetodit, et kompromiteerida 78 Microsofti kontot 64 organisatsioonis.
Ajavahemikus 12. juunist kuni 26. juunini tegi ründaja LSHIY LLC infrastruktuuri kaudu Azure CLI vastu üle 81 miljoni sisselogimiskatse. Sihtmärgid pärinesid juba varem kompromiteeritud kasutajaandmete nimekirjadest, ilma et eelistataks konkreetseid tööstusharusid või ettevõtte tüüpe. Edukalt kompromiteeriti vähemalt 78 kontot 64 organisatsioonis.
Rünnak kasutas Resource Owner Password Credentials (ROPC) meetodit — aegunud OAuth-autentimisprotokolli, mis edastab kasutajanime ja parooli otse kliendirakendustele. See meetod on tulevases OAuth 2.1 spetsifikatsioonis klassifitseeritud aegunuks ning ei ühildu loomupäraselt mitmikautentimisega (MFA). Microsoft ise soovitab selle kasutamisest hoiduda ja pakub turvalisemaid alternatiive, kuna meetod eeldab rakenduselt kõrget usaldustaset.
Kompromiteerimine õnnestus vaatamata MFA rakendamisele, kuna mõjutatud ettevõtete tingimusliku juurdepääsu põhimõtetes esines lünki: MFA oli sageli aktiveeritud ainult administratiivsetele rühmadele, piirdus valitud pilverakendustega kõigi rakenduste asemel või kehtis ainult usaldusväärsetest asukohtadest väljaspool toimuva juurdepääsu korral. Kaheksal 78 mõjutatud organisatsioonist puudusid MFA-põhimõtted üldse.
Huntress rõhutab, et tegemist ei ole MFA kui tehnoloogia põhimõttelise ebaõnnestumisega, vaid konfiguratsiooniprobleemiga. Organisatsioonid peavad oma MFA-põhimõtted selgesõnaliselt seadistama nii, et need blokeeriksid või vähemalt jälgiksid ka selliseid aegunud autentimisprotsesse nagu ROPC. Rünnakute maht kasvas juunis märgatavalt: esimese kümne päeva jooksul kaaperdati keskmiselt kaks kuni neli kontot päevas, kuid 22. juunil tõusis kompromiteeritud identiteetide arv 30-ni.
Allikas: www.it-daily.net · Avaldatud 2. juulil 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimise ja klassifitseerimise teostas Lumi News Pipeline v1.7.2.