En sprej, inte ett genombrott

Säkerhetsföretaget Huntress avslöjade en password spraying-kampanj som pågick från den 12 till den 26 juni 2026, med en topp den 22 juni, där mer än 81 miljoner inloggningsförsök riktades mot Microsoft 365-konton. Trafiken kom från ett IPv6-intervall registrerat på en enda operatör, och angriparna gissade inte lösenord i blindo. De spelade upp par av användarnamn och lösenord som samlats in från tidigare, orelaterade dataintrång, i vad om att folk återanvänder sina inloggningsuppgifter mellan tjänster. Ur den floden komprometterades 78 konton över 64 organisationer.

Det anmärkningsvärda är frånvaron av allt exotiskt. Det fanns ingen nolldag, ingen listig skadlig kod, inget knep i försörjningskedjan. Det var volym plus återanvända inloggningsuppgifter plus en svag autentiseringsväg. Den kombinationen är inom räckhåll för vilken vanlig angripare som helst, och just därför förtjänar den en ägares uppmärksamhet: tekniken är billig, upprepbar och riktad mot det identitetslager som de flesta företag antar att de redan har säkrat med multifaktorautentisering.

Hur inloggningarna tog sig förbi MFA

Mekanismen var en gammal inloggningsväg. Angriparna autentiserade sig via Azures kommandoradsverktyg med hjälp av Resource Owner Password Credentials-flödet, känt som ROPC, en äldre OAuth-metod som accepterar ett användarnamn och lösenord direkt och som i många klienter inte utlöser någon multifaktorfråga alls. Där en klient hade MFA påslaget men snävt begränsat gick de återanvända inloggningsuppgifterna rakt genom glappet. Huntress fann samma felkonfigurationer gång på gång: MFA tillämpat endast på utvalda applikationer, MFA framtvingat endast för administratörsgrupper, MFA krävt endast från ej betrodda platser och Conditional Access-policyer lämnade i enbart-rapportläget, där de loggar men aldrig blockerar.

Den mindre uppenbara lärdomen är att MFA inte är en strömbrytare, utan en täckningskarta. En klient kan klara en granskning som frågar om MFA finns och ändå lämna en gammal dörr olåst. Angriparna besegrade inte multifaktorautentisering; de hittade de inloggningar där den aldrig efterfrågades. Den distinktionen är hela historien, och den är osynlig om inte någon kontrollerar vilka autentiseringsvägar en klient fortfarande tillåter.

Halvtimmen som stänger luckan

Detta är ett konfigurationsproblem med ett konfigurationssvar, och det mesta av det är en kort administrativ session snarare än ett köp. Blockera äldre autentisering och inaktivera ROPC-flödet, så att inloggningar med användarnamn och lösenord som hoppar över MFA helt enkelt nekas. Tvinga fram multifaktorautentisering på varje applikation och varje inloggning, inte bara på administratörskonton eller ej betrodda platser, och flytta Conditional Access från enbart-rapportläget till aktiv blockering. Kontrollera sedan inloggningsloggarna efter mönstret av misslyckad sprej och återställ varje inloggningsuppgift som ett tidigare intrång kan ha blottlagt.

För ett europeiskt företag finns det ett andra skäl att agera snabbt. Om återanvända inloggningsuppgifter öppnar en brevlåda med personuppgifter kan händelsen utlösa en anmälningsplikt enligt GDPR inom 72 timmar, så att en tyst identitetslucka kan bli en anmälningspliktig händelse och ett samtal med en tillsynsmyndighet. MSB rekommenderar just denna konfigurationshygien. Kostnaden för att stänga dörren är en eftermiddags konfiguration; kostnaden för att lämna den öppen mäts i upplysningsskyldigheter och förlorat förtroende. Behandla identitetslagret som det perimeter det har blivit.