Microsoft 365 hứng hơn 81 triệu lượt đăng nhập trái phép: Doanh nghiệp không bật MFA đối mặt nguy cơ bị chiếm tài khoản

K
Kaya
Phản hồi: 0

Kaya

Writer
Một chiến dịch tấn công quy mô lớn nhằm vào người dùng Microsoft 365 vừa được các chuyên gia an ninh mạng cảnh báo sau khi ghi nhận hơn 81 triệu lượt đăng nhập trái phép chỉ trong vòng hai tuần. Nhiều doanh nghiệp đã bị xâm nhập thành công do chưa triển khai đầy đủ cơ chế xác thực đa yếu tố (MFA).​

Hơn 81 triệu lần thử đăng nhập chỉ trong 14 ngày​

Theo báo cáo từ công ty an ninh mạng Huntress, từ ngày 12 đến 26/6, tin tặc đã tiến hành khoảng 81 triệu lần thử đăng nhập vào các tài khoản Microsoft 365 của khách hàng. Chiến dịch này ảnh hưởng đến ít nhất 30 tổ chức, trong đó có 78 tài khoản bị xâm nhập thành công.

Các chuyên gia cho biết phần lớn lưu lượng tấn công xuất phát từ một dải địa chỉ IPv6 do nhà cung cấp dịch vụ Internet LSHIY LLC quản lý. Sau khi được thông báo, đơn vị này đã chặn hoạt động từ các địa chỉ IP liên quan nhằm ngăn chặn cuộc tấn công tiếp diễn.​

Password Spraying là gì?​

Khác với kiểu dò mật khẩu truyền thống, Password Spraying không thử hàng nghìn mật khẩu trên một tài khoản.

Thay vào đó, kẻ tấn công sử dụng một số mật khẩu phổ biến như:​
  • Welcome123​
  • Company2026​
  • Summer2026​
  • Password123...​
...rồi thử đăng nhập vào hàng nghìn tài khoản khác nhau. Cách làm này giúp tin tặc tránh bị hệ thống khóa tài khoản do nhập sai quá nhiều lần, đồng thời tăng khả năng phát hiện những người vẫn sử dụng mật khẩu yếu hoặc mật khẩu mặc định.​

Tin tặc đã vượt qua lớp bảo vệ như thế nào?​

Theo Huntress, chiến dịch lần này lợi dụng OAuth ROPC (một phương thức xác thực cũ vẫn còn được một số hệ thống Microsoft hỗ trợ). Nếu doanh nghiệp chưa cấu hình đầy đủ các chính sách bảo mật, kẻ tấn công có thể sử dụng thông tin đăng nhập hợp lệ để yêu cầu cấp mã truy cập, từ đó đăng nhập vào các dịch vụ đám mây mà không cần tương tác trực tiếp với người dùng.
ed41c221-e062-4b84-a258-8bffa86aacd1.png

Điều này khiến tài khoản có thể bị chiếm quyền ngay cả khi không xuất hiện các dấu hiệu bất thường như cài mã độc hay lừa người dùng nhấp vào liên kết.​

Vì sao MFA vẫn không bảo vệ được?​

Nhiều người cho rằng chỉ cần bật xác thực đa yếu tố (MFA) là đủ an toàn. Tuy nhiên, các chuyên gia cho biết thực tế không phải doanh nghiệp nào cũng triển khai MFA đúng cách. Một số tổ chức chỉ yêu cầu MFA đối với cổng quản trị, trong khi các phương thức đăng nhập khác vẫn không được bảo vệ.

Nhiều doanh nghiệp cũng chỉ áp dụng MFA cho quản trị viên hoặc một nhóm người dùng nhất định, còn tài khoản nhân viên thông thường vẫn chỉ sử dụng tên đăng nhập và mật khẩu. Đây chính là mục tiêu mà tin tặc nhắm đến.​

Doanh nghiệp cần làm gì?​

Để giảm nguy cơ bị tấn công bằng Password Spraying, các chuyên gia khuyến nghị doanh nghiệp:​
  • Bật MFA cho toàn bộ người dùng, không chỉ tài khoản quản trị.​
  • Vô hiệu hóa các phương thức xác thực cũ như OAuth ROPC nếu không còn nhu cầu sử dụng.​
  • Áp dụng Conditional Access để giới hạn đăng nhập từ thiết bị, vị trí hoặc quốc gia bất thường.​
  • Sử dụng mật khẩu mạnh, không dùng chung giữa nhiều dịch vụ.​
  • Theo dõi nhật ký đăng nhập để kịp thời phát hiện các lần truy cập bất thường.​

Password Spraying vẫn là mối đe dọa phổ biến​

Dù không sử dụng lỗ hổng zero-day hay mã độc tinh vi, Password Spraying vẫn là một trong những kỹ thuật được tin tặc sử dụng nhiều nhất vì nhắm vào điểm yếu trong quá trình quản lý tài khoản.

Sự cố lần này cũng là lời nhắc nhở rằng, chỉ một tài khoản không được bảo vệ đầy đủ cũng có thể trở thành "cánh cửa" để kẻ tấn công xâm nhập vào toàn bộ hệ thống doanh nghiệp. Việc triển khai MFA đồng bộ, loại bỏ các cơ chế xác thực lỗi thời và thường xuyên rà soát chính sách bảo mật là những bước quan trọng giúp giảm thiểu nguy cơ trước các chiến dịch tấn công tự động ngày càng gia tăng.​
 
Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview


Đăng nhập một lần thảo luận tẹt ga
Thành viên mới đăng
http://textlink.linktop.vn/?adslk=aHR0cHM6Ly92bnJldmlldy52bi90aHJlYWRzL21pY3Jvc29mdC0zNjUtaHVuZy1ob24tODEtdHJpZXUtbHVvdC1kYW5nLW5oYXAtdHJhaS1waGVwLWRvYW5oLW5naGllcC1raG9uZy1iYXQtbWZhLWRvaS1tYXQtbmd1eS1jby1iaS1jaGllbS10YWkta2hvYW4uODcwNjEv
Top