Azure CLI-wachtwoordspray treft ten minste 78 Microsoft-accounts in meer dan 81 miljoen pogingen

Cybersecurity-onderzoekers hebben gewaarschuwd voor een “massale, voortdurende, geautomatiseerde wachtwoordspray-aanval” gericht op de Azure-opdrachtregelinterface (CLI) van Microsoft, waarbij tientallen accounts in gevaar komen.

De activiteit is volgens Huntress afkomstig van een IPv6-adresbereik (2a0a:d683::/32) beheerd door internetinfrastructuurprovider LSHIY LLC (AS32167).

“Tussen 12 juni en 26 juni heeft de dreigingsactor die erachter zit meer dan 81 miljoen inlogpogingen gedaan en met succes minstens 78 Microsoft-accounts in 64 organisaties gecompromitteerd”, aldus het bedrijf in een verklaring. “De doelgerichtheid van deze aanvallen lijkt volledig gebaseerd te zijn op de prevalentie van wachtwoorden op gecompromitteerde wachtwoordcombinatielijsten, en is niet specifiek voor het bedrijfstype of de branche.”

Wat de wachtwoordspray-aanval opmerkelijk maakt, is niet alleen de omvang, maar ook het feit dat veel van de getroffen organisaties beleid voor voorwaardelijke toegang hadden ingeschakeld. Er is met name gebleken dat de campagne gebruikmaakt van een verouderde OAuth-stroom genaamd Resource Owner Password Credentials (ROPC) om de beveiliging van het Conditional Access Policy (CAP) te omzeilen.

ROPC is een verouderd OAuth 2.0-toekenningstype waarbij een gebruiker zijn gebruikersnaam en wachtwoord rechtstreeks aan een clienttoepassing verstrekt, die deze inloggegevens vervolgens naar een autorisatieserver stuurt om ze in te wisselen voor een toegangstoken. Het is verouderd in OAuth 2.1.

In de documentatie raadt Microsoft klanten aan om de ROPC niet te gebruiken, met het argument dat deze incompatibel is met multi-factor authenticatie (MFA).

“In de meeste scenario’s zijn veiliger alternatieven beschikbaar en aanbevolen”, zegt de technologiegigant. “Deze stroom vereist een zeer hoge mate van vertrouwen in de applicatie en brengt risico’s met zich mee die niet aanwezig zijn in andere stromen. Je moet deze stroom alleen gebruiken als veiligere stromen niet haalbaar zijn.”

De credential- en token-spray-aanvallen zouden hebben geresulteerd in een handvol succesvolle logins per dag tussen 12 en 21 juni 2026, waarbij gemiddeld twee tot vier accounts dagelijks werden gecompromitteerd, met uitzondering van 19 juni, toen twaalf gebruikersaccounts (ook wel identiteiten genoemd) werden gecompromitteerd. Het gestage tempo veranderde op 22 juni, waarbij 30 identiteiten in 23 bedrijven getroffen werden.

In totaal werden als onderdeel van de campagne 78 gebruikersaccounts bij 64 organisaties gehackt. Het overgrote deel van de wachtwoordverstuivingsactiviteiten was afkomstig van LSHIY LLC. Sommige IP-adressen verwijzen naar de VS, terwijl een paar andere naar China verwijzen.

“Deze aanvallen maken deel uit van een grote golf van credential spray-aanvallen op een aantal verschillende ASN’s”, aldus Huntress, eraan toevoegend dat het bedrijf getuige is geweest van een toename van het aantal credential spray-aanvallen met meer dan 155 keer binnen zijn klantenbestand. “Het aantal aanvallen nam vooral toe tussen eind mei en begin juni, met een huidige gemiddelde waarde van ongeveer 1.964 mislukte aanvallen per maand per door Huntress beschermde huurder.”

Het lijkt erop dat de activiteit specifiek oude gebruikersnaam/wachtwoord-combinaties bewapent die eerder zijn geschonden maar nooit zijn gerouleerd. Het gebruik van de ROPC-vector betekende dat de aanvallers zich konden richten op ondernemingen die MFA hadden geïmplementeerd, maar deze was niet afgedwongen of geconfigureerd om rekening te houden met Azure CLI ROPC-aanmeldingen.

Dit omvatte scenario’s waarbij MFA niet werd geactiveerd:

  • MFA alleen afdwingen voor specifieke apps, in tegenstelling tot ‘Alle Cloud Apps’, waardoor de Azure CLI-aanmeldingen die door de bedreigingsactoren worden gebruikt, niet worden gedekt
  • MFA alleen afdwingen voor specifieke gebruikersgroepen, zoals beheerders
  • MFA alleen afdwingen wanneer aanvragen afkomstig zijn van niet-vertrouwde locaties

“Het is vermeldenswaard dat acht bedrijven die door de campagne werden getroffen, helemaal geen MFB-beleid hadden”, aldus Huntress. “Hoewel bedreigingsactoren in deze campagne binnen konden komen ondanks dat MFA was opgezet, mag de conclusie niet zijn dat MFA helemaal niet werkt; in plaats daarvan moeten organisaties ervoor zorgen dat hun MFA-beleid correct is geconfigureerd om de autorisatiestroom aan te pakken die bij deze incidenten wordt gebruikt.”

Om deze aanvalslijn tegen te gaan, wordt organisaties geadviseerd om MFA te vereisen voor alle gebruikers, alle cloud-apps en alle client-app-typen bij het inschakelen van CAP, de Azure CLI-toepassing te beperken voor gebruikers die geen beheerder zijn, en prioriteit te geven aan de respons op basis van de geldigheid van de inloggegevens.

“Deze aanval brengt scheuren in CAP’s aan het licht die niet op de juiste manier zijn geconfigureerd”, concludeerden onderzoekers van Huntress. “Er zijn nog steeds potentiële zwakke punten in de manier waarop CAP’s worden ingezet, waardoor bedreigingsactoren er doorheen kunnen glippen. Een flagrante fout hier is dat oudere protocollen zoals ROPC sommige slecht geconfigureerde CAP’s volledig kunnen omzeilen, omdat ze niet door het autorisatie-eindpunt gaan waar beleid wordt afgedwongen.”

Thijs Van der Does