Устаревший вход в систему Microsoft Entra ID используется для взлома облачных учетных записей

Уязвимость в устаревшей системе входа в систему Microsoft Entra ID позволила злоумышленникам обойти MFA, нацелившись на учетные записи администраторов в секторах финансов, здравоохранения и технологий.

Компания Guardz, занимающаяся кибербезопасностью, обнаружила целевую кампанию, использующую уязвимость устаревших протоколов аутентификации Microsoft Entra ID, что позволяет злоумышленникам обходить современные меры безопасности, такие как многофакторная аутентификация ( MFA ).

В атаках, которые произошли в период с 18 марта по 7 апреля 2025 года, использовался устаревший метод входа в систему Basic Authentication Version 2 – Resource Owner Owner Password Credential ( BAV2ROPC ) для получения несанкционированного доступа, что подчеркивает опасность устаревшей аутентификации в облачных средах.

Согласно отчету Guardz, предоставленному Hackread.com, эта кампания была нацелена на различные секторы, включая финансовые услуги, здравоохранение, производство и технологические услуги.

Этот инцидент следует за широко распространенными блокировками учетных записей Microsoft Entra ID , о которых Hackread.com сообщил в апреле 2025 года, вызванными внутренней ошибкой Microsoft с токенами обновления и приложением отзыва учетных данных MACE. В то время как отчет Hackread подробно описывал непреднамеренные блокировки из-за внутренней проблемы, открытие Guardz подчеркивает преднамеренную эксплуатацию уязвимостей Entra ID злоумышленниками.

Исследовательское подразделение Guardz (GRU) обнаружило, что злоумышленники активно используют BAV2ROPC — функцию совместимости в Entra ID, которая позволяет старым приложениям проходить аутентификацию с использованием простых имен пользователей и паролей.

В отличие от современных интерактивных процессов входа, которые требуют MFA и других проверок безопасности, BAV2ROPC работает неинтерактивно. Это критическое отличие позволяет злоумышленникам полностью обходить MFA, политики условного доступа и даже оповещения о входе и проверку присутствия пользователя, фактически делая эти современные средства защиты бесполезными.

Атака происходила в два отдельных этапа, начиная с этапа «Инициализация» между 18 и 20 марта, который характеризовался меньшей интенсивностью проверки, в среднем около 2709 подозрительных попыток входа в систему ежедневно.

За этим последовала фаза «непрерывной атаки» с 21 марта по 3 апреля, которая характеризовалась резким всплеском активности, достигнув более 6444 попыток в день (колоссальный рост на 138%). Эта эскалация указала на явный сдвиг в сторону агрессивной эксплуатации выявленных уязвимостей.

Guardz Research отследил более 9000 подозрительных попыток входа в Exchange, в основном из Восточной Европы и Азиатско-Тихоокеанского региона. Кампания включала автоматическое распыление учетных данных и тактику подбора, фокусируясь на открытых устаревших конечных точках.

Атаки были направлены на различные устаревшие векторы аутентификации, при этом более 90% были нацелены на Exchange Online и библиотеку аутентификации Microsoft, при этом особое внимание уделялось учетным записям администраторов.

«Аккаунты администраторов были в центре внимания. Одна подгруппа получила около 10 000 попыток с 432 IP-адресов в течение 8 часов » , — написала Элли Шломо из Guardz в своем сообщении в блоге .

Хотя кампания утихла, Guardz предупреждает, что уязвимость сохраняется во многих организациях, которые все еще полагаются на такие протоколы, как BAV2ROPC, SMTP AUTH, POP3 и IMAP4 для совместимости. Эти методы обходят MFA , игнорируют условный доступ и позволяют выполнять тихие, неинтерактивные входы, тем самым создавая «скрытый бэкдор», отметили исследователи.

Дор Эйснер, генеральный директор и соучредитель Guardz, подчеркнул критичность этой проблемы, заявив: «Эта кампания — тревожный сигнал, говорящий не только об одной уязвимости, но и о более широкой необходимости вывода из эксплуатации устаревших технологий, которые больше не отвечают современным угрозам».

Чтобы снизить риски, Guardz настоятельно рекомендует организациям немедленно провести аудит и отключить устаревшую аутентификацию, внедрить современную аутентификацию с помощью MFA, внедрить политики условного доступа для блокировки неподдерживаемых потоков и внимательно отслеживать необычную активность входа в систему.