L’attaque a exploité des informations d’identification et des failles précédemment exposées dans les configurations d’authentification multifacteur des entreprises.
Les utilisateurs de Microsoft ont été touchés par une attaque massive et automatisée par pulvérisation de mots de passe.
Parmi les personnes visées par l’attaque figuraient des clients de la société de sécurité Huntress. Il a rapporté que les attaquants ont effectué 81 millions de tentatives de connexion aux comptes de ses clients entre le 12 et le 26 juin – et ont réussi dans au moins 78 cas.
Et ce ne sont que les attaques contre les titulaires de comptes Microsoft qui sont également des clients de Huntress : le nombre de comptes compromis pourrait être beaucoup plus élevé, car il s’agit d’une attaque par pulvérisation de mot de passe visant à tenter de se connecter sans discernement.
Les attaques provenaient toutes d’une seule source, une plage d’adresses IPv6 contrôlée par le fournisseur Internet LSHIY LLC, a déclaré Huntress dans un article de blog. LSHIY a depuis mis fin à l’accès du client en utilisant les adresses IP impliquées dans l’attaque.
Huntress surveillait les attaques par pulvérisation depuis un certain temps et avait remarqué une légère augmentation à partir du 12 juin, puis un pic soudain le 22 juin lorsque 30 de ses clients ont été touchés.
Les attaquants ont rejoué les informations d’identification validées via le flux OAuth ROPC (Resource Owner Password Credentials). Cela prend un nom d’utilisateur/mot de passe au point de terminaison /token pour un locataire et crée un nouveau jeton délégué par l’utilisateur, une fois fourni avec les informations d’identification correctes. Cela a été possible car l’authentification multifacteur (MFA) n’avait pas été configurée pour gérer les techniques déployées par les attaquants.
Huntress a déclaré que cela était dû au fait que, dans certains cas, la MFA avait été appliquée pour des applications spécifiques au lieu de « toutes les applications cloud ». Par exemple, certaines organisations ont appliqué la MFA pour les portails d’administration Microsoft, ce qui ne couvrait pas les connexions Azure CLI utilisées par l’attaquant.
Dans d’autres cas, les organisations ont activé MFA uniquement pour des groupes d’utilisateurs spécifiques (tels que les administrateurs uniquement). Les utilisateurs compromis n’entraient pas dans le champ d’application de ces groupes d’utilisateurs spécifiques.



