Microsoft выпустила рекомендации по защите от атак распыления паролей
Хакеры, в том числе спонсируемые государством, активно используют для взлома защиты метод распыления паролей (password spraying), который, по информации Группы обнаружения и реагирования (DART) компании Microsoft, не требует больших усилий и поэтому пользуется популярностью в киберпреступной среде.
Вместо того, чтобы пробовать много паролей против одного пользователя (метод грубой силы), при "спрей-атаке" подставляют много логинов с одним паролем. такой подход помогает избежать установленной в многих средах защиты, когда превышение разрешенного числа попыток ввода пароля приводит к блокировке учетной записи.
По оценкам Microsoft, несмотря на то, что эффективность атак распылением паролей не превышает 1%, на них приходится более трети всех успешных случаев компрометации эккаунтов.
DART выделяет две базовых разновидности техник распыления паролей. Злоумышленники могут использовать ограниченное количество тщательно подобранных паролей для нескольких учетных записей, либо, в подходе, также называемом "подстановкой учетных данных" (credential stuffing), применять ранее скомпрометированные идентификаторы, которые публикуются и продаются в Даркнете.
DART рекомендует использовать Azure AD Identity Protection, предостерегает от устаревших протоколов проверки подлинности, которые не могут обеспечить многофакторную аутентификацию. Злоумышленники также атакуют через REST API. Основные целевые приложения включают Exchange ActiveSync, IMAP, POP3, SMTP Auth и Exchange Autodiscover.
Неделей раньше Microsoft сообщила, что взломщики SolarWinds, входящие в группировку Nobelium, в последнее время перенацелили свои атаки распыления паролей в первую очередь на поставщиков управляемых сервисов, т. е. на тех, кому их клиенты делегируют полномочия администраторов.
Особую осторожность DART призывает проявлять при конфигурировании настроек безопасности для таких ролей, как админстрация безопасности, служб Exchange, условного доступа, SharePoint, поддержки клиентов, выставления счетов, пользователей, аутентификации и пр. Также повышенный интерес взломщиков привлекают эккаунты высокопоставленных управленцев предприятий и всех тех, кто по роду службы имеет дело с конфиденциальными данными.
Кроме того, эксперты Microsoft делятся полезными советами, которые, например, помогают определить, была ли "спрей-атака" хотя бы частично успешной, какие пользователи были затронуты и были ли скомпрометированы учетные записи администраторов.
