Хакери използват функция за нулиране на пароли в Microsoft

Екипът за сигурност на Microsoft предупреди, че хакери използват функцията за нулиране на пароли, за да получат достъп до потребителски акаунти.

Компанията публикува и насоки за защита от подобни атаки.

Хакерска група, известна като Storm-2949, злоупотребява с функцията за нулиране на пароли в услугите на Microsoft, за да открадне идентификационните данни за вход, да получи достъп до акаунти на жертвите и да извлече колкото е възможно повече чувствителни данни.

Нов доклад, публикуван от изследователския екип на Microsoft Defender Security, твърди, че в основата на тази кампания е процесът за самостоятелно нулиране на пароли (SSPR), който се намира в екосистемата на Microsoft.

Обикновено, когато служител забрави идентификационните си данни и кликне върху бутона „Забравена парола“, Microsoft изпраща MFA подкана до регистрираното му вторично устройство.

Когато служителят я одобри, му е позволено да зададе нова парола чрез същото устройство, на което процесът е бил иницииран първоначално.

Storm-2949 провежда изключително целенасочени атаки.

Първо, хакерите идентифицират целта си, получават телефонния ѝ номер, както и имейл адреса, използван за влизане в услугите на Microsoft.

След това те използват тези данни, за да инициират процеса за нулиране на паролата.

За да заобиколят защитата, те използват предварително подготвени устройства, които са регистрирани в акаунта на жертвата, но не са под неин контрол.

По този начин те могат да получат достъп до акаунта, без да се налага да преминават през стандартните проверки за сигурност.

Microsoft вече е предприела мерки за ограничаване на този тип атаки и препоръчва на потребителите да активират допълнителни защитни механизми, като например изискване за потвърждение на самоличността чрез няколко канала.