Serangan besar terhadap Microsoft 365 kembali menunjukkan bahwa akun cloud tetap menjadi target utama peretas. Dalam kurun dua pekan, lebih dari 81 juta upaya login ilegal tercatat menyasar lingkungan Microsoft 365 dengan pola serangan yang memanfaatkan data kredensial bocor dan celah konfigurasi autentikasi.
Huntress mengungkap kampanye ini menyerang pelanggan Microsoft 365 miliknya dan berlangsung pada 12-26 Juni. Dari investigasi yang dilakukan, perusahaan keamanan siber itu mengonfirmasi 78 akun Microsoft berhasil ditembus dari 64 organisasi.
Modus yang dipakai peretas
Serangan tersebut memakai teknik password spraying, yaitu mencoba sedikit kata sandi umum ke banyak akun sekaligus. Cara ini berbeda dari brute force yang menarget satu akun secara berulang dan sering memicu penguncian akun lebih cepat.
Pelaku juga memakai kombinasi username dan password yang masih aktif, tetapi berasal dari kebocoran data sebelumnya. Setelah menemukan kredensial yang cocok, mereka mencoba masuk lewat Azure Command-Line Interface atau Azure CLI milik Microsoft.
Azure CLI sendiri dipakai administrator untuk mengelola layanan cloud Microsoft Azure, termasuk mesin virtual, aplikasi, basis data, dan otomatisasi operasi. Jalur ini memberi ruang bagi penyerang untuk bergerak melalui sistem yang tampak sah dari sisi autentikasi awal.
Kenapa MFA tetap bisa ditembus
Masalah utama dalam serangan ini bukan hanya pada kredensial yang bocor, tetapi juga pada konfigurasi MFA yang lemah. Huntress menjelaskan bahwa banyak organisasi sebenarnya sudah memakai multi-factor authentication, namun perlindungannya tidak mencakup jalur autentikasi yang digunakan pelaku.
Penyerang kemudian memanfaatkan mekanisme resource owner password credentials atau ROPC OAuth. Metode ini memungkinkan login berbasis username dan password langsung, sehingga bisa melewati MFA pada banyak organisasi jika conditional access policy atau CAP tidak disetel dengan benar.
Huntress menegaskan, “Banyak perusahaan yang terdampak sebenarnya telah menerapkan MFA melalui CAP, tetapi MFA tersebut tidak dikonfigurasi untuk melindungi jalur autentikasi khusus yang digunakan para penyerang.”
Kesalahan konfigurasi yang membuka celah
Investigasi Huntress menemukan sejumlah kelemahan yang membuat organisasi lebih mudah ditembus. Salah satunya adalah MFA hanya diterapkan pada aplikasi tertentu, bukan seluruh layanan cloud.
MFA juga kadang hanya diwajibkan untuk kelompok pengguna tertentu, seperti administrator. Ada pula organisasi yang hanya memicu verifikasi tambahan saat login berasal dari lokasi yang tidak dipercaya, sehingga akses dari IP yang dianggap tepercaya tetap bisa lewat.
Kesalahan lain muncul ketika kebijakan keamanan baru diaktifkan dalam mode report-only, sehingga belum benar-benar ditegakkan. Dalam beberapa kasus, MFA bahkan belum diterapkan sama sekali.
Lonjakan serangan password spraying
Huntress menyebut serangan password spraying mengalami kenaikan tajam. Jumlah serangan dilaporkan melonjak lebih dari 155 kali lipat, dengan rata-rata 1.964 percobaan login gagal per tenant Microsoft 365 setiap bulan.
Pola ini menunjukkan bahwa serangan terhadap layanan cloud kini tidak lagi bergantung pada upaya membobol satu akun secara agresif. Peretas justru memanfaatkan kebiasaan pengguna memakai kata sandi lemah, data bocor yang masih aktif, dan kebijakan keamanan yang belum tertutup rapat di seluruh jalur akses.
Source: www.beritasatu.com






