IT-onderzoekers hebben een botnet van meer dan 130.000 geïnfecteerde systemen waargenomen die password-spraying-aanvallen uitvoeren op Microsoft 365-accounts. Door verschillende combinaties van gebruikersnamen en wachtwoorden uit te proberen, kunnen aanvallers toegang krijgen tot accounts die slechts met eenvoudige beveiliging zijn beschermd.
Altijd op de hoogte zijn van cyberrisico’s?
Schrijf je in voor onze gratis nieuwsbrief:
Aanvallers omzeilen MFA met Basic Authentication
Volgens een analyse van het bedrijf SecurityScorecard richten de aanvallers zich vooral op niet-interactieve toegangen met zogenoemde Basic Authentication. Hierdoor kunnen ze beveiligingsmechanismen zoals multi-factor authenticatie (MFA) omzeilen. IT-beveiligingsteams blijken in deze combinatie vaak een blinde vlek te hebben.
Bij de aanvallen maken de cybercriminelen gebruik van inloggegevens die bijvoorbeeld via infostealers zijn buitgemaakt. Deze gestolen gegevens worden vervolgens systematisch getest op talloze accounts, waardoor een succesvolle aanval steeds waarschijnlijker wordt.
Wereldwijde dreiging voor Microsoft 365-gebruikers
Volgens de IT-onderzoekers zijn wereldwijd meerdere Microsoft 365-gebruikers op deze manier aangevallen. Dit wijst op een wijdverspreide en voortdurende dreiging. Niet-interactieve logins worden doorgaans gebruikt voor machine-to-machine communicatie of voor verouderde protocollen zoals POP, IMAP en SMTP, waarbij MFA in veel configuraties niet wordt toegepast.
Organisaties die zich uitsluitend richten op het monitoren van interactieve logins, zijn hierdoor extra kwetsbaar. Cybercriminelen maken gebruik van dit zwakke punt om ongeoorloofde toegang te verkrijgen en hun aanvallen verder uit te breiden.
SecurityScorecard adviseert snelle actie
SecurityScorecard heeft directe bewijzen van deze activiteiten gevonden in de niet-interactieve login-protocollen. Het bedrijf adviseert alle organisaties met Microsoft 365-gebruikers om zo snel mogelijk te controleren of zij ook getroffen zijn. Als dat het geval is, raden de onderzoekers aan om de inloggegevens van alle accounts in de getroffen protocollen te resetten.
Gevaren van een succesvolle aanval
De IT-onderzoekers vatten de risico’s als volgt samen:
- Overname van accounts: aanvallers kunnen accounts kapen en ongeoorloofde toegang verkrijgen.
- Verstoring van bedrijfsprocessen: cybercriminelen kunnen systemen ontregelen of stilleggen.
- Laterale beweging in het netwerk: zodra toegang is verkregen, kunnen aanvallers zich verder binnen het netwerk verspreiden en meer schade aanrichten.
Altijd op de hoogte zijn van cyberrisico’s?
Schrijf je in voor onze gratis nieuwsbrief:
Microsoft schakelt Basic Authentication geleidelijk uit
Microsoft heeft Basic Authentication grotendeels uitgeschakeld om deze dreiging te verminderen. Op 1 oktober 2022 is Exchange Online overgestapt naar veiligere inlogmethoden. Sinds 16 september 2024 is het niet langer mogelijk om op Outlook.com in te loggen met Basic Authentication.
Toch is deze verouderde authenticatiemethode in sommige omgevingen nog steeds actief, bijvoorbeeld vanwege uitzonderingsregels. Volgens de analyse van SecurityScorecard zal Microsoft deze uitzonderingen in september 2025 definitief beëindigen. Dit betekent dat onder andere SMTP-Auth met Basic Authentication volledig zal worden uitgeschakeld.
Hoe organisaties zich kunnen beschermen
De IT-beveiligingsexperts benadrukken dat deze aanvallen aantonen hoe cruciaal het is om Basic Authentication volledig uit te schakelen. Organisaties zouden moeten overstappen op veiligere aanmeldmethoden, inlogpatronen proactief monitoren en sterke detectiemechanismen tegen password-spraying-aanvallen implementeren.
Veelvoorkomend aanvalsscenario
Password-spraying-aanvallen zijn een veelvoorkomend aanvalsscenario. Zo heeft bijvoorbeeld de fabrikant Cisco eind vorig jaar gereageerd op deze trend door betere beschermingsmechanismen te integreren tegen brute-force- en password-spraying-aanvallen in de firmware van hun ASA- en FTD-apparaten.
Altijd op de hoogte zijn van cyberrisico’s?
Schrijf je in voor onze gratis nieuwsbrief:
