En spray, ikke et gennembrud
Sikkerhedsfirmaet Huntress offentliggjorde en password spraying-kampagne, der kørte fra den 12. til den 26. juni 2026 med en top den 22. juni, hvor mere end 81 millioner loginforsøg blev rettet mod Microsoft 365-konti. Trafikken kom fra et IPv6-område registreret til en enkelt operatør, og angriberne gættede ikke adgangskoder i blinde. De genafspillede par af brugernavn og adgangskode, der var høstet fra tidligere, urelaterede databrud, i væddemål om, at folk genbruger deres loginoplysninger på tværs af tjenester. Ud af den strøm blev 78 konti kompromitteret på tværs af 64 organisationer.
Det bemærkelsesværdige er fraværet af noget som helst eksotisk. Der var ingen zero-day, ingen snedig malware, intet forsyningskædetrick. Det var volumen plus genbrugte loginoplysninger plus en svag godkendelsesvej. Den kombination er inden for rækkevidde af enhver almindelig angriber, og netop derfor fortjener den en ejers opmærksomhed: teknikken er billig, gentagelig og rettet mod det identitetslag, som de fleste virksomheder går ud fra allerede er sikret med multifaktorgodkendelse.
Hvordan loginene kom forbi MFA
Mekanismen var en gammel loginvej. Angriberne godkendte sig via Azures kommandolinjeværktøjer ved hjælp af Resource Owner Password Credentials-forløbet, kendt som ROPC, en ældre OAuth-metode, der accepterer et brugernavn og en adgangskode direkte og i mange lejere slet ikke udløser en multifaktorprompt. Hvor en lejer havde MFA slået til, men snævert afgrænset, gik de genbrugte loginoplysninger lige gennem hullet. Huntress fandt de samme fejlkonfigurationer igen og igen: MFA anvendt kun på udvalgte applikationer, MFA håndhævet kun for administratorgrupper, MFA krævet kun fra ikke-betroede placeringer og Conditional Access-politikker efterladt i rapport-kun-tilstand, hvor de logger, men aldrig blokerer.
Den mindre indlysende lære er, at MFA ikke er en kontakt, men et dækningskort. En lejer kan bestå en revision, der spørger, om MFA findes, og alligevel lade en gammel dør stå ulåst. Angriberne besejrede ikke multifaktorgodkendelse; de fandt de logins, hvor der aldrig blev bedt om den. Den skelnen er hele historien, og den er usynlig, medmindre nogen tjekker, hvilke godkendelsesveje en lejer stadig tillader.
Den halve time, der lukker hullet
Dette er et konfigurationsproblem med et konfigurationssvar, og det meste af det er en kort administrativ session snarere end et køb. Blokér gammel godkendelse og deaktivér ROPC-forløbet, så logins med brugernavn og adgangskode, der springer MFA over, ganske enkelt afvises. Håndhæv multifaktorgodkendelse på tværs af hver applikation og hvert login, ikke kun på administratorkonti eller ikke-betroede placeringer, og flyt Conditional Access fra rapport-kun-tilstand til aktiv blokering. Tjek derefter loginloggene for det mislykkede spray-mønster, og nulstil enhver loginoplysning, som et tidligere databrud kan have blottet.
For en europæisk virksomhed er der en anden grund til at handle hurtigt. Hvis genbrugte loginoplysninger åbner en postkasse med personoplysninger, kan hændelsen udløse en underretningspligt i henhold til GDPR inden for 72 timer, så et stille identitetshul kan blive en anmeldelsespligtig hændelse og en samtale med en tilsynsmyndighed. CFCS anbefaler netop denne konfigurationshygiejne. Omkostningen ved at lukke døren er en eftermiddags konfiguration; omkostningen ved at lade den stå åben måles i oplysningsforpligtelser og tabt tillid. Behandl identitetslaget som det perimeter, det er blevet.
Læs videre: Din AI-editor kan køre fremmed kode | Din leverandør er ransomware-døren



