Microsoft 365 hesaplarına iki haftada 81 milyon oturum açma denemesiyle parola püskürtme saldırısı düzenlendi

Siber güvenlik şirketi Huntress, Microsoft 365 ortamlarını hedef alan geniş çaplı bir parola püskürtme saldırısında iki haftalık süreçte 81 milyondan fazla oturum açma denemesi gerçekleştirildiğini açıkladı. Araştırmaya göre saldırganlar, geçmiş veri ihlallerinde ele geçirilen kullanıcı adı ve parola bilgilerini kullanarak 64 kuruluşta toplam 78 Microsoft hesabını ele geçirdi.

1x
Temmuz 5, 2026 - 16:28
Microsoft 365 hesaplarına iki haftada 81 milyon oturum açma denemesiyle parola püskürtme saldırısı düzenlendi

Siber güvenlik şirketi Huntress, 12-26 Haziran tarihleri arasında Microsoft 365 ortamlarını hedef alan büyük ölçekli bir parola püskürtme (password spraying) saldırısı tespit ettiğini duyurdu. Araştırmacılar, saldırı kampanyası kapsamında iki haftada 81 milyondan fazla oturum açma girişimi gerçekleştirildiğini bildirdi.

Huntress'ın analizine göre saldırganlar, geçmiş veri ihlallerinde ortaya çıkan ve hâlâ geçerliliğini koruyan kullanıcı adı ve parola kombinasyonlarını kullanarak Microsoft Azure Komut Satırı Aracı (Azure CLI) üzerinden kimlik doğrulama girişimlerinde bulundu.

MFA politikalarındaki eksikliklerden yararlanıldı

Araştırmaya göre saldırganlar, geçerli kullanıcı adı ve parola eşleşmesini bulduktan sonra ROPC (Resource Owner Password Credentials) OAuth akışı üzerinden kimlik doğrulaması gerçekleştirdi.

Huntress, "Etkilenen birçok kuruluş çok faktörlü kimlik doğrulamayı (MFA) Koşullu Erişim İlkesi (Conditional Access Policy) ile kullanıyordu. Ancak MFA, saldırganların kullandığı bu özel kimlik doğrulama akışını kapsayacak şekilde yapılandırılmamıştı." açıklamasını yaptı.

Şirket ayrıca, "ROPC çeşitli nedenlerle sorunlu kabul ediliyor. Bunlardan biri de MFA veya tek oturum açma (SSO) gibi modern kimlik doğrulama yöntemlerini desteklememesi. Bu kampanyada da gördüğümüz gibi parola doğrudan /token uç noktasına gönderiliyor ve kullanıcıya herhangi bir MFA doğrulama ekranı gösterilmiyor." ifadelerini kullandı.

64 kuruluşta 78 hesap ele geçirildi

Huntress, saldırganların 64 farklı kuruluşta toplam 78 Microsoft hesabını ele geçirmeyi başardığını doğruladı.

Araştırmacılar, etkilenen kuruluşlarda yaygın olarak görülen yapılandırma hatalarını da paylaştı. Buna göre bazı kuruluşlarda MFA yalnızca belirli uygulamalara uygulanırken tüm bulut uygulamalarını kapsamıyordu. Bazı ortamlarda MFA yalnızca yönetici grupları için etkinleştirilmişti. Bazılarında ise yalnızca güvenilmeyen konumlardan gelen bağlantılar için zorunlu tutuluyor, güvenilir görünen IP adreslerinden gelen erişimler ek doğrulama olmadan kabul ediliyordu.

Raporda ayrıca bazı güvenlik politikalarının yalnızca raporlama (report-only) modunda bırakıldığı ve bu nedenle fiilen uygulanmadığı, bazı kuruluşlarda ise hiç MFA politikası bulunmadığı belirtildi.

Saldırılarda büyük artış yaşandı

Huntress, gözlemlerine göre parola püskürtme saldırılarında 155 katın üzerinde artış yaşandığını açıkladı. Şirket, kuruluş başına aylık ortalama başarısız oturum açma denemesi sayısının 1.964'e yükseldiğini bildirdi.

Araştırmacılar, saldırı kampanyasının arkasındaki grubun kimliğinin henüz belirlenemediğini, ancak faaliyetlerin LSHIY LLC'ye (AS32167) ait bir IPv6 adres aralığından gerçekleştirildiğini tespit ettiklerini aktardı.

Huntress, elde ettiği bulguları şirketin kötüye kullanım bildirim sistemi üzerinden LSHIY ile paylaştığını ancak raporun yayımlandığı tarihe kadar herhangi bir yanıt alınamadığını açıkladı.

Kaynak: Beykozun Sesi

Tepkiniz Nedir?

Beğenmek Beğenmek 0
Beğenmemek Beğenmemek 0
Aşk Aşk 0
Eğlenceli Eğlenceli 0
Sinirli Sinirli 0
Üzgün Üzgün 0
Vay Vay 0