کد خبر: ۳۹۶

حمله سایبری گسترده به کاربران مایکروسافت؛ چرا احراز هویت دو مرحله‌ای شکست خورد؟

گزارش بهراد یوسفی درباره حمله اسپری رمز عبور

موج جدیدی از حملات سایبری خودکار و انبوه موسوم به «اسپری رمز عبور» (Password Spray) میلیون‌ها حساب کاربری مایکروسافت ۳۶۵ را هدف قرار داده است. شرکت امنیتی «هانتریس» (Huntress) گزارش داده که در بازه زمانی ۱۲ تا ۲۶ ژوئن، بیش از ۸۱ میلیون تلاش برای ورود غیرمجاز ثبت شده که در نهایت به نفوذ موفق به حداقل ۷۸ حساب کاربری منجر شده است. با توجه به ماهیت گسترده حملات اسپری رمز عبور، تعداد واقعی حساب‌های آسیب‌دیده در سطح جهانی می‌تواند بسیار بیشتر باشد.

این نوع حمله اسپری رمز عبور بر پایه امتحان کردن حجم بالایی از نامهای کاربری با چند رمز عبور رایج یا لو رفته انجام میشود تا در نهایت چند ورود موفق بهدست آید؛ بدون اینکه نیاز به شکستن مستقیم رمزها باشد.

پشت پرده نفوذ؛ ضعفهای پیکربندی امنیتی

مهاجمان با استفاده از اعتبارنامههای لو رفته، حملات خود را از یک محدوده آدرس اینترنتی تحت کنترل شرکت «ال اس اچ آی وای» (LSHIY LLC) سازماندهی کردند. پس از شناسایی این فعالیت، دسترسی مشتری مرتبط با این آدرسها مسدود شد.

روش فنی این حمله اسپری رمز عبور شامل بازپخش اعتبارنامهها از طریق جریان کاری «OAuth ROPC»  بوده است. در این روش، مهاجم با وارد کردن نام کاربری و رمز عبور صحیح در نقطه دریافت توکن، یک توکن دسترسی معتبر دریافت میکند.

علت موفقیت این نفوذ بیشتر به خطاهای پیکربندی امنیتی مربوط میشود:

  • پوشش ناقصMFA: در برخی سازمانها احراز هویت چندمرحلهای فقط برای چند برنامه خاص فعال بوده و شامل همه سرویسهای ابری نمیشده است. در نتیجه ابزارهایی مانند Azure CLI از کنترل خارج ماندهاند.
  • محدودیت گروههای کاربری: در برخی موارد MFA فقط برای مدیران یا گروههای خاص فعال بوده و کاربران عادی در معرض این حملات اسپری رمز عبور قرار داشتهاند.

اتاق تحلیل ۲۴ نیوز | دیدگاه تحلیلی بهراد یوسفی

        پارادوکس امنیت؛ چرا گران‌ترین لایه‌های دفاعی با یک خطای ساده فرو می‌ریزد؟

·        حمله اخیر به مایکروسافت ۳۶۵، درس بزرگی برای مدیران شبکه دارد: «امنیت، زنجیره‌ای است که تنها به اندازه ضعیف‌ترین حلقه‌اش مقاومت می‌کند». این رخداد به وضوح نشان می‌دهد که حملات «اسپری رمز عبور» دیگر لزوماً به ضعف در فناوری یا پیچیدگی‌های رمزنگاری مربوط نیست، بلکه نتیجه مستقیم شکاف‌های مدیریتی در پیکربندی است. حتی سازمان‌هایی که مجهز به ابزارهای امنیتی پیشرفته هستند، اگر سیاست‌های امنیتی را به‌صورت یکپارچه و فراگیر اعمال نکنند، در برابر این حملاتِ «کور و انبوه» آسیب‌پذیر خواهند بود.

·        حمله اخیر ثابت کرد که در دنیای امنیت سایبری سال ۲۰۲۶، داشتن ابزار کافی نیست؛ بلکه «درست پیکربندی کردن» آن است که تفاوت میان امنیت و نفوذ را رقم می‌زند. بسیاری از سازمان‌ها به اشتباه، احراز هویت دو مرحله‌ای را به عنوان یک «آپشن انتخابی» برای بخش‌های خاص می‌بینند، در حالی که در عصر حملات خودکار، هر نقطه ورودی که محافظت نشود، یک دعوت‌نامه رسمی برای هکرهاست.

·        پیام اصلی این واقعه برای مدیران آی‌تی این است: حملات اسپری رمز عبور منتظر اشتباهات کوچک می‌مانند. وقتی مهاجمان با صرف زمان و ابزارهای خودکار، میلیون‌ها تلاش را بر روی درهای بسته انجام می‌دهند، تنها کافی است یک درِ پشتی کوچک (مثل یک اپلیکیشن مدیریت‌نشده یا یک گروه کاربری فراموش‌شده) باز بماند تا کلِ سدِ دفاعی سازمان فرو بریزد. امنیتِ جزیره‌ای در دنیای ابری، حالا دیگر بزرگترین دشمن امنیتِ واقعی سازمان‌هاست. این نفوذها نه حاصل نبوغ هکرها، بلکه ناشی از «ساده‌انگاری در معماری امنیتی» است؛ درسی که امیدوارم سازمان‌های داخلی بیش از گذشته به آن توجه کنند.

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث