حمله سایبری گسترده به کاربران مایکروسافت؛ چرا احراز هویت دو مرحلهای شکست خورد؟
موج جدیدی از حملات سایبری خودکار و انبوه موسوم به «اسپری رمز عبور» (Password Spray) میلیونها حساب کاربری مایکروسافت ۳۶۵ را هدف قرار داده است. شرکت امنیتی «هانتریس» (Huntress) گزارش داده که در بازه زمانی ۱۲ تا ۲۶ ژوئن، بیش از ۸۱ میلیون تلاش برای ورود غیرمجاز ثبت شده که در نهایت به نفوذ موفق به حداقل ۷۸ حساب کاربری منجر شده است. با توجه به ماهیت گسترده حملات اسپری رمز عبور، تعداد واقعی حسابهای آسیبدیده در سطح جهانی میتواند بسیار بیشتر باشد.
این نوع حمله اسپری رمز عبور بر پایه امتحان کردن حجم بالایی از نامهای کاربری با چند رمز عبور رایج یا لو رفته انجام میشود تا در نهایت چند ورود موفق بهدست آید؛ بدون اینکه نیاز به شکستن مستقیم رمزها باشد.
پشت پرده نفوذ؛ ضعفهای پیکربندی امنیتی
مهاجمان با استفاده از اعتبارنامههای لو رفته، حملات خود را از یک محدوده آدرس اینترنتی تحت کنترل شرکت «ال اس اچ آی وای» (LSHIY LLC) سازماندهی کردند. پس از شناسایی این فعالیت، دسترسی مشتری مرتبط با این آدرسها مسدود شد.
روش فنی این حمله اسپری رمز عبور شامل بازپخش اعتبارنامهها از طریق جریان کاری «OAuth ROPC» بوده است. در این روش، مهاجم با وارد کردن نام کاربری و رمز عبور صحیح در نقطه دریافت توکن، یک توکن دسترسی معتبر دریافت میکند.
علت موفقیت این نفوذ بیشتر به خطاهای پیکربندی امنیتی مربوط میشود:
- پوشش ناقصMFA: در برخی سازمانها احراز هویت چندمرحلهای فقط برای چند برنامه خاص فعال بوده و شامل همه سرویسهای ابری نمیشده است. در نتیجه ابزارهایی مانند Azure CLI از کنترل خارج ماندهاند.
- محدودیت گروههای کاربری: در برخی موارد MFA فقط برای مدیران یا گروههای خاص فعال بوده و کاربران عادی در معرض این حملات اسپری رمز عبور قرار داشتهاند.
اتاق تحلیل ۲۴ نیوز | دیدگاه تحلیلی بهراد یوسفی
پارادوکس امنیت؛ چرا گرانترین لایههای دفاعی با یک خطای ساده فرو میریزد؟
· حمله اخیر به مایکروسافت ۳۶۵، درس بزرگی برای مدیران شبکه دارد: «امنیت، زنجیرهای است که تنها به اندازه ضعیفترین حلقهاش مقاومت میکند». این رخداد به وضوح نشان میدهد که حملات «اسپری رمز عبور» دیگر لزوماً به ضعف در فناوری یا پیچیدگیهای رمزنگاری مربوط نیست، بلکه نتیجه مستقیم شکافهای مدیریتی در پیکربندی است. حتی سازمانهایی که مجهز به ابزارهای امنیتی پیشرفته هستند، اگر سیاستهای امنیتی را بهصورت یکپارچه و فراگیر اعمال نکنند، در برابر این حملاتِ «کور و انبوه» آسیبپذیر خواهند بود.
· حمله اخیر ثابت کرد که در دنیای امنیت سایبری سال ۲۰۲۶، داشتن ابزار کافی نیست؛ بلکه «درست پیکربندی کردن» آن است که تفاوت میان امنیت و نفوذ را رقم میزند. بسیاری از سازمانها به اشتباه، احراز هویت دو مرحلهای را به عنوان یک «آپشن انتخابی» برای بخشهای خاص میبینند، در حالی که در عصر حملات خودکار، هر نقطه ورودی که محافظت نشود، یک دعوتنامه رسمی برای هکرهاست.
· پیام اصلی این واقعه برای مدیران آیتی این است: حملات اسپری رمز عبور منتظر اشتباهات کوچک میمانند. وقتی مهاجمان با صرف زمان و ابزارهای خودکار، میلیونها تلاش را بر روی درهای بسته انجام میدهند، تنها کافی است یک درِ پشتی کوچک (مثل یک اپلیکیشن مدیریتنشده یا یک گروه کاربری فراموششده) باز بماند تا کلِ سدِ دفاعی سازمان فرو بریزد. امنیتِ جزیرهای در دنیای ابری، حالا دیگر بزرگترین دشمن امنیتِ واقعی سازمانهاست. این نفوذها نه حاصل نبوغ هکرها، بلکه ناشی از «سادهانگاری در معماری امنیتی» است؛ درسی که امیدوارم سازمانهای داخلی بیش از گذشته به آن توجه کنند.