Een spray, geen doorbraak
Het beveiligingsbedrijf Huntress maakte een password-spraycampagne bekend die liep van 12 tot 26 juni 2026, met een piek op 22 juni, waarbij meer dan 81 miljoen aanmeldpogingen op Microsoft 365-accounts werden gericht. Het verkeer kwam uit een IPv6-bereik dat op naam van een enkele operator stond, en de aanvallers raadden de wachtwoorden niet blind. Ze speelden gebruikersnaam- en wachtwoordparen opnieuw af die uit eerdere, niet-gerelateerde datalekken waren verzameld, in de gok dat mensen hun inloggegevens hergebruiken over diensten heen. Uit die vloed werden 78 accounts gecompromitteerd in 64 organisaties.
Wat dit opmerkelijk maakt, is de afwezigheid van iets exotisch. Er was geen zero-day, geen slimme malware, geen truc met de toeleveringsketen. Het was volume plus hergebruikte inloggegevens plus een zwakke authenticatieroute. Die combinatie ligt binnen bereik van elke doorsnee aanvaller, en juist daarom verdient ze de aandacht van een eigenaar: de techniek is goedkoop, herhaalbaar en gericht op de identiteitslaag die de meeste bedrijven al beveiligd wanen met multifactorauthenticatie.
Hoe de aanmeldingen langs MFA kwamen
Het mechanisme was een oude aanmeldroute. De aanvallers authenticeerden zich via de opdrachtregelhulpmiddelen van Azure met de Resource Owner Password Credentials-stroom, bekend als ROPC, een oudere OAuth-methode die een gebruikersnaam en wachtwoord rechtstreeks accepteert en in veel tenants helemaal geen multifactorprompt activeert. Waar een tenant MFA had ingeschakeld maar smal had begrensd, liepen de hergebruikte inloggegevens recht door het gat. Huntress vond keer op keer dezelfde misconfiguraties: MFA alleen toegepast op geselecteerde toepassingen, MFA alleen afgedwongen voor beheerdersgroepen, MFA alleen vereist vanaf niet-vertrouwde locaties, en Conditional Access-beleid dat in de alleen-rapportmodus stond, waar het logt maar nooit blokkeert.
De minder voor de hand liggende les is dat MFA geen schakelaar is, maar een dekkingskaart. Een tenant kan een audit doorstaan die vraagt of MFA bestaat en toch een oude deur ongesloten laten. De aanvallers versloegen multifactorauthenticatie niet; ze vonden de aanmeldingen waar er nooit om werd gevraagd. Dat onderscheid is het hele verhaal, en het blijft onzichtbaar tenzij iemand nagaat welke authenticatieroutes een tenant nog toestaat.
Het halfuur dat het gat sluit
Dit is een configuratieprobleem met een configuratieantwoord, en het grootste deel is een korte beheerderssessie in plaats van een aankoop. Blokkeer verouderde authenticatie en schakel de ROPC-stroom uit, zodat aanmeldingen met gebruikersnaam en wachtwoord die MFA overslaan simpelweg worden geweigerd. Dwing multifactorauthenticatie af op elke toepassing en elke aanmelding, niet alleen op beheerdersaccounts of niet-vertrouwde locaties, en zet Conditional Access van de alleen-rapportmodus over naar actief blokkeren. Controleer daarna de aanmeldlogboeken op het patroon van de mislukte spray en reset elke inloggegeven die een eerder datalek kan hebben blootgesteld.
Voor een Europees bedrijf is er een tweede reden om snel te handelen. Als hergebruikte inloggegevens een postbus met persoonsgegevens openen, kan het incident binnen 72 uur een meldplicht onder de AVG in gang zetten, zodat een stil identiteitsgat een meldplichtige gebeurtenis en een gesprek met de Autoriteit Persoonsgegevens kan worden. Het NCSC-NL beveelt precies deze configuratiehygiene aan. De kosten om de deur te sluiten zijn een middag configuratie; de kosten om haar open te laten worden gemeten in openbaarmakingsverplichtingen en verloren vertrouwen. Behandel de identiteitslaag als het perimeter dat het geworden is.
Lees hierna: Je AI-code-editor kan code van aanvallers draaien | Uw leverancier is Europa's ransomwaredeur



