
Microsoft 365 kullanan kuruluşlar, iki hafta içinde gerçekleştirilen 81 milyondan fazla oturum açma denemesiyle hedef alındı. Huntress araştırmacıları, saldırganların daha önce veri ihlallerinde ortaya çıkan kullanıcı adı ve parola çiftlerini kullanarak hesaplara erişmeye çalıştığını belirledi. Araştırma, bazı yanlış yapılandırılmış güvenlik politikalarının çok faktörlü kimlik doğrulamayı devre dışı bırakabildiğini ortaya koydu.
Saldırganlar Eski Kimlik Bilgilerini Kullanarak Hesaplara Erişmeye Çalıştı
Huntress tarafından yayımlanan araştırmaya göre saldırılar 12-26 Haziran tarihleri arasında gerçekleştirildi. İncelemeler, saldırganların Microsoft Azure CLI üzerinden kimlik doğrulama denemeleri yaptığını gösterdi. Kullanılan kullanıcı adı ve parolaların büyük bölümünün geçmişte yaşanan veri sızıntılarında ele geçirilen bilgilerden oluştuğu değerlendiriliyor.

Araştırmacılar, saldırganların geçerli kullanıcı adı ve parola eşleşmesini bulduktan sonra ROPC akışını kullanarak kimlik doğrulama gerçekleştirdiğini belirtti. Microsoft 365 hesapları için kullanılan bu yöntem, bazı kuruluşlarda hatalı yapılandırılan güvenlik politikaları nedeniyle çok faktörlü kimlik doğrulama korumasını devre dışı bırakabildi. Sonuç olarak saldırganlar, etkileşimli doğrulama adımını geçmeden hesaplara erişim sağlayabildi.
Huntress’in analizine göre saldırılar sonucunda 64 farklı kuruluşta toplam 78 Microsoft hesabı ele geçirildi. Güvenlik şirketi, olayların büyük bölümünde çok faktörlü kimlik doğrulamanın etkin olmasına rağmen yapılandırma hatalarının saldırganlara avantaj sağladığını vurguladı.
Yanlış Yapılandırılan Güvenlik Politikaları Riski Artırdı
Araştırmada öne çıkan bulgular, birçok kuruluşun Koşullu Erişim (Conditional Access) politikalarını eksik yapılandırdığını gösteriyor. Bazı ortamlarda çok faktörlü kimlik doğrulama yalnızca belirli uygulamalar için etkinleştirilirken bazı kuruluşlarda yalnızca yönetici hesapları korunuyordu. İncelenen sistemlerde güvenlik politikalarının yalnızca raporlama modunda bırakıldığı veya hiç etkinleştirilmediği örnekler de tespit edildi.

ROPC kimlik doğrulama yöntemi, modern kimlik doğrulama süreçlerinde kullanılan MFA veya tek oturum açma mekanizmalarını desteklemediği için güvenlik uzmanları tarafından uzun süredir riskli yöntemler arasında değerlendiriliyor. Saldırganların bu akışı tercih etmesi, özellikle eski yapılandırmalara sahip Microsoft 365 ortamlarında başarılı olma ihtimalini artırıyor.
Huntress, son dönemde parola püskürtme saldırılarında yaklaşık 155 kat artış gözlemlediğini açıkladı. Şirketin verilerine göre kuruluş başına aylık başarısız oturum açma girişimi ortalaması 1.964 seviyesine ulaştı. Araştırmacılar, saldırı trafiğinin LSHIY LLC’ye ait IPv6 adres aralığından geldiğini belirledi ancak saldırıların arkasındaki grubun kimliği henüz kesin olarak tespit edilemedi. Güvenlik şirketi, bulgularını ilgili altyapı sağlayıcısıyla paylaşmasına rağmen raporun yayımlandığı tarihe kadar herhangi bir geri dönüş almadığını açıkladı.




