Microsoft 365 -tileihin kohdistui yli 81 miljoonaa kirjautumisyritystä kahdessa viikossa
Microsoft 365 -ympäristöihin kohdistui kesäkuussa laaja hajautettu salasanakokeilukampanja, jossa hyökkääjä teki yli 81 miljoonaa kirjautumisyritystä kahden viikon aikana. Tietoturvayhtiö Huntressin mukaan kampanja havaittiin sen asiakkaiden ympäristöissä 12.–26.6.2026. Hyökkäyksen seurauksena murrettiin vähintään 78 Microsoft-tiliä 64 eri organisaatiossa.
Kyseessä oli niin sanottu password spraying -hyökkäys, josta käytän tässä suomenkielistä termiä hajautettu salasanakokeiluhyökkäys. Hyökkääjä ei siis yrittänyt murtaa yhtä tiliä suurella määrällä salasanoja, vaan kokeili valmiiksi vuotaneita ja edelleen toimivia käyttäjätunnus–salasana-yhdistelmiä laajasti eri Microsoft 365 -ympäristöjä vasten. Huntressin mukaan kohdistus näytti perustuvan ennen kaikkea siihen, kuinka yleisiä tietyt salasanat olivat aiemmin vuotaneissa tunnuslistoissa, ei niinkään tiettyyn toimialaan tai organisaatiotyyppiin.
Hyökkääjät käyttivät kirjautumisyrityksissä Microsoftin Azure CLI -rajapintaa ja OAuthin ROPC-todennusvirtaa. ROPC eli Resource Owner Password Credentials on ongelmallinen kirjautumistapa, koska se välittää käyttäjätunnuksen ja salasanan suoraan tunnistepäätepisteelle ilman normaalia interaktiivista MFA-kehotetta. Tämän vuoksi hyökkääjä pystyi joissakin ympäristöissä ohittamaan monivaiheisen tunnistautumisen, jos ehdollisen käyttöoikeuden eli Conditional Accessin asetukset eivät kattaneet kyseistä kirjautumistapaa.
Huntressin mukaan monessa murretussa organisaatiossa MFA oli käytössä, mutta se oli rajattu liian kapeasti. Ongelmina havaittiin muun muassa se, että MFA oli pakotettu vain tiettyihin sovelluksiin, vain tietyille käyttäjäryhmille tai vain epäluotetuista sijainneista tuleville kirjautumisille. Joissakin tapauksissa ehdollisen käyttöoikeuden käytäntö oli jätetty pelkkään raportointitilaan, jolloin sitä ei todellisuudessa valvottu. Osassa organisaatioista MFA-käytäntöä ei ollut käytössä lainkaan.
Hyökkäysliikenne yhdistettiin pääosin IPv6-osoitealueeseen, joka kuuluu LSHIY LLC -nimiselle infrastruktuuripalveluntarjoajalle. Huntress ilmoitti havainnoistaan yhtiön väärinkäytösten ilmoituskanavan kautta, mutta ei ollut saanut vastausta raporttinsa julkaisuhetkeen mennessä.
Tapaus korostaa, että pelkkä MFA:n käyttöönotto ei riitä, jos sen ehdot ja kattavuus eivät ole kunnossa. Organisaatioiden kannattaa tarkistaa, että vahva tunnistautuminen tai estokäytäntö koskee kaikkia käyttäjiä, kaikkia pilvisovelluksia ja kaikkia asiakassovellustyyppejä. Lisäksi Azure CLI:n käyttö kannattaa rajoittaa niille käyttäjille, jotka sitä aidosti tarvitsevat, ja kirjautumishälytyksissä tulisi painottaa erityisesti onnistuneita tai osittain onnistuneita tunnusten validointeja pelkän suuren epäonnistuneiden kirjautumisyritysten määrän sijaan.
Tärkeimmät havainnot
- Microsoft 365 -ympäristöihin kohdistui yli 81 miljoonaa kirjautumisyritystä 12.–26.6.2026.
- Huntress vahvisti vähintään 78 murrettua Microsoft-tiliä 64 organisaatiossa.
- Hyökkäyksessä käytettiin aiemmin vuotaneita mutta edelleen toimivia käyttäjätunnus–salasana-yhdistelmiä.
- Hyökkääjät hyödynsivät Azure CLI:tä ja ROPC-todennusvirtaa.
- Osassa ympäristöistä MFA ei estänyt hyökkäystä, koska Conditional Access -käytännöt oli rajattu tai määritetty puutteellisesti.
- Suojaustoimissa kannattaa painottaa oikein määritettyä MFA:ta, kaikkia käyttäjiä ja sovelluksia kattavia Conditional Access -käytäntöjä sekä Azure CLI:n käytön rajaamista.
Lähde: Bleeping Computer — alkuperäinen artikkeli julkaistu 1.7.2026

