Hyökkääjät käyttävät Microsoftin omatoimista salasananvaihtoa (SSPR) Azure-datan varastamiseen M365-ympäristöissä. Legitimiit hallintaominaisuudet ja -sovellukset toimivat hyökkäysvälineinä.
Tietoturvatutkijat ovat havainneet koordinoidun hyökkäyskampanjan, jossa rikolliset käyttävät hyväkseen Microsoftin Self-Service Password Reset (SSPR) -toimintoa Azure- ja Microsoft 365 -tuotantoympäristöjen hyökkäämisessä. Hyökkääjät keskittyvät nimenomaan tiedon varastamiseen käyttäen legitimiä Microsoft-sovelluksia ja hallintatyökaluja.
Hyökkäyksissä hyödynnetään SSPR-ominaisuuden haavoittuvuuksia käyttäjätilien vaarantamiseksi. Tämän jälkeen hyökkääjät liikkuvat lateraalisesti organisaation verkossa ja etsivät arvokasta dataa. Erityisen huolestuttavaa on se, että hyökkääjät käyttävät vain legitimejä Microsoft-työkaluja, mikä tekee hyökkäyksen havaitsemisesta erittäin vaikeaa perinteisillä tietoturvamenetelmillä.
Hyökkäykset kohdistuvat ensisijaisesti keskisuuriin ja suuriin organisaatioihin, joilla on laajat Azure-ympäristöt. MSP-toimittajien asiakkaat ovat erityisen alttiita tälle uhalle, koska monen asiakkaan ympäristöt tarjoavat hyökkääjälle useita mahdollisia kohteita. Hyökkääjät näyttävät keskittyvän liiketoimintakriittisen datan, kuten asiakastietojen ja taloudellisten asiakirjojen varastamiseen.
Microsoft on tietoinen uhasta ja kehittää parhaillaan lisätoimia SSPR-ominaisuuden turvallisuuden parantamiseksi. Organisaatioiden tulisi välittömästi tarkistaa SSPR-asetuksensa, ottaa käyttöön lisävalvontaa Azure-ympäristöissään ja varmistaa, että kaikki hallintatilit käyttävät monivaiheista tunnistautumista. IT-ammattilaiset suosittelevat myös epätavallisen kirjautumistoiminnan ja oikeuksien laajentamisen aktiivista seurantaa.
Tärkeimmät pointit
- Hyökkääjät käyttävät Microsoft SSPR-ominaisuutta pääsyyn Azure-ympäristöihin
- Legitimiä Microsoft-sovelluksia ja hallintatyökaluja käytetään hyökkäysvälineinä
- Kohteena keskisuuret ja suuret organisaatiot laajoine Azure-ympäristöineen
- Hyökkäys keskittyy liiketoimintakriittisen datan varastamiseen
- Havaitseminen vaikeaa perinteisillä tietoturvamenetelmillä
- Microsoft kehittää SSPR-turvallisuutta vastauksena uhkaan
- Suositus: MFA kaikille hallintatileille ja aktiivinen lokiseuranta
Lähde: Bleeping Computer — alkuperäinen artikkeli julkaistu 19.5.2026
