Starsze logowanie w Microsoft Entra ID wykorzystane do włamania się na konta w chmurze

Luka w starszym sposobie logowania Microsoft Entra ID umożliwiała atakującym ominięcie uwierzytelniania wieloskładnikowego (MFA), co miało na celu sforsowanie kont administratorów w sektorach finansowym, opieki zdrowotnej i technologicznym.

Firma Guardz zajmująca się bezpieczeństwem cybernetycznym odkryła ukierunkowaną kampanię wykorzystującą lukę w starszych protokołach uwierzytelniania Microsoft Entra ID, umożliwiającą atakującym ominięcie nowoczesnych środków bezpieczeństwa, takich jak uwierzytelnianie wieloskładnikowe ( MFA ).

Ataki, które miały miejsce między 18 marca a 7 kwietnia 2025 r., wykorzystywały podstawową metodę uwierzytelniania w wersji 2 – poświadczenia hasła właściciela zasobu ( BAV2ROPC ), starszą metodę logowania, w celu uzyskania nieautoryzowanego dostępu, co uwypukla zagrożenia związane z przestarzałym uwierzytelnianiem w środowiskach chmurowych.

Według raportu Guardza ​​udostępnionego serwisowi Hackread.com kampania ta była skierowana do różnych sektorów, w tym usług finansowych, opieki zdrowotnej, produkcji i usług technologicznych.

Incydent ten następuje po powszechnych blokadach kont Microsoft Entra ID zgłoszonych przez Hackread.com w kwietniu 2025 r., spowodowanych wewnętrznym błędem Microsoft z tokenami odświeżania i aplikacją MACE Credential Revocation. Podczas gdy raport Hackread szczegółowo opisywał niezamierzone blokady z powodu wewnętrznego problemu, odkrycie Guardz podkreśla celowe wykorzystanie luk w zabezpieczeniach Entra ID przez złośliwych aktorów.

Jednostka badawcza Guardz (GRU) odkryła, że ​​atakujący aktywnie wykorzystywali BAV2ROPC — funkcję zgodności w ramach Entra ID, która umożliwia starszym aplikacjom uwierzytelnianie przy użyciu prostych nazw użytkowników i haseł.

W przeciwieństwie do współczesnych interaktywnych procesów logowania, które wymagają MFA i innych kontroli bezpieczeństwa, BAV2ROPC działa nieinteraktywnie. Ta krytyczna różnica pozwala atakującym całkowicie ominąć MFA, zasady dostępu warunkowego , a nawet alerty logowania i weryfikację obecności użytkownika, skutecznie czyniąc te nowoczesne zabezpieczenia bezużytecznymi.

Atak nastąpił w dwóch odrębnych fazach, rozpoczynając się fazą „inicjalizacji” między 18 a 20 marca. Charakteryzowała się ona mniejszą intensywnością sondowania, wynosząc średnio około 2709 podejrzanych prób logowania dziennie.

Następnie nastąpiła faza „Sustained Attack” od 21 marca do 3 kwietnia, w której nastąpił gwałtowny wzrost aktywności, osiągając ponad 6444 prób dziennie (aż 138% wzrostu). Ta eskalacja wskazywała na wyraźne przesunięcie w kierunku agresywnego wykorzystywania zidentyfikowanych luk.

Guardz Research śledził ponad 9000 podejrzanych prób logowania do Exchange, głównie z Europy Wschodniej i regionu Azji i Pacyfiku. Kampania obejmowała zautomatyzowane rozpylanie poświadczeń i taktyki siłowe, skupiając się na odsłoniętych starszych punktach końcowych.

Ataki były wymierzone w różne starsze wektory uwierzytelniania, przy czym ponad 90% z nich było wymierzonych w usługę Exchange Online i bibliotekę Microsoft Authentication Library, ze szczególnym uwzględnieniem kont administratorów.

„Konta administratorów były szczególnym celem. Jeden podzbiór otrzymał prawie 10 000 prób z 432 adresów IP w ciągu 8 godzin ” , napisał Elli Shlomo z Guardz w swoim wpisie na blogu .

Chociaż kampania ucichła, Guardz ostrzega, że ​​luka nadal występuje w wielu organizacjach, które nadal polegają na protokołach takich jak BAV2ROPC, SMTP AUTH, POP3 i IMAP4 w celu zapewnienia zgodności. Te metody omijają MFA , ignorują dostęp warunkowy i umożliwiają ciche, nieinteraktywne logowania, tworząc w ten sposób „ukryte tylne wejście”, zauważyli badacze.

Dor Eisner, dyrektor generalny i współzałożyciel Guardz podkreślił krytyczną naturę tego problemu, stwierdzając: „Ta kampania jest sygnałem ostrzegawczym, nie tylko w odniesieniu do jednej luki w zabezpieczeniach, ale do szerszej potrzeby wycofania przestarzałych technologii, które nie służą już dzisiejszemu krajobrazowi zagrożeń”.

Aby ograniczyć ryzyko, Guardz wzywa organizacje do natychmiastowego przeprowadzenia audytu i wyłączenia starszego uwierzytelniania, wyegzekwowania nowoczesnego uwierzytelniania za pomocą uwierzytelniania wieloskładnikowego, wdrożenia zasad dostępu warunkowego w celu blokowania nieobsługiwanych przepływów oraz ścisłego monitorowania nietypowej aktywności logowania.