Huntress: 81 млн попыток взлома Microsoft 365 обошли MFA из‑за просчетов в настройках доступа

Крупная кампания против учетных записей Microsoft 365 показала, что одна лишь многофакторная аутентификация не всегда становится надежным барьером. Аналитики Huntress выяснили: злоумышленники делали ставку не на продвинутые уязвимости, а на давно известную, но все еще эффективную тактику — распыление паролей с использованием ранее скомпрометированных учетных данных. За две недели, с 12 по 26 июня 2026 года, было зарегистрировано свыше 81 млн попыток входа.

Источник: techradar.com

По результатам наблюдений атакующим удалось получить доступ к 78 учетным записям Microsoft в 64 организациях. Успех обеспечила не столько масса запросов, сколько ошибки в конфигурации защиты. В атаке задействовали некорректно настроенные политики Conditional Access и особенности OAuth-механизма Resource Owner Password Credentials (ROPC). Для выполнения действий применялся интерфейс командной строки Azure CLI.

Почему MFA не сработала у части организаций

Исследователи напомнили, что ROPC давно считается проблемным сценарием: он не поддерживает современные интерактивные способы входа, включая MFA и SSO. Фактически пароль передается напрямую на конечную точку token, минуя привычные этапы дополнительной проверки. Этим и воспользовались нападавшие, когда находили верную пару «логин‑пароль».

В ряде пострадавших компаний MFA либо не было вовсе, либо она действовала только частично. Иногда ее включали лишь для администраторов, оставляя обычных сотрудников с более слабой защитой. В других случаях запрос MFA появлялся только при подключении из недоверенных сетей: если вход выполнялся с доверенного IP‑адреса, дополнительная проверка не запускалась. Отдельно Huntress указала на еще один типичный просчет — политики Conditional Access в некоторых средах работали лишь в режиме отчетности, то есть фиксировали рискованные входы, но не блокировали их.

Какие шаги важнее всего

По итогам этой кампании специалисты по кибербезопасности выделили меры, заметно снижающие вероятность повторения подобных инцидентов:

распространить MFA на всех пользователей без исключений;

включить защиту для всех облачных приложений и всех типов клиентских приложений;

ограничить использование Azure CLI для сотрудников без административных прав;

оценивать проблему не количеством попыток распыления паролей, а фактом компрометации действующих учетных данных.

В конечном счете история вновь подтвердила простой, но часто игнорируемый вывод: угрозу создают не только отсутствие MFA, но и ее формальное внедрение без покрытия всех реальных сценариев входа. Из‑за этого неправильно настроенные политики доступа нередко оказываются для злоумышленников инструментом ценнее, чем любой технически сложный взлом.


Опубликовано: 02.07.2026 22:32