Крупная кампания против учетных записей Microsoft 365 показала, что одна лишь многофакторная аутентификация не всегда становится надежным барьером. Аналитики Huntress выяснили: злоумышленники делали ставку не на продвинутые уязвимости, а на давно известную, но все еще эффективную тактику — распыление паролей с использованием ранее скомпрометированных учетных данных. За две недели, с 12 по 26 июня 2026 года, было зарегистрировано свыше 81 млн попыток входа.

Источник: techradar.com
По результатам наблюдений атакующим удалось получить доступ к 78 учетным записям Microsoft в 64 организациях. Успех обеспечила не столько масса запросов, сколько ошибки в конфигурации защиты. В атаке задействовали некорректно настроенные политики Conditional Access и особенности OAuth-механизма Resource Owner Password Credentials (ROPC). Для выполнения действий применялся интерфейс командной строки Azure CLI.
Почему MFA не сработала у части организаций
Исследователи напомнили, что ROPC давно считается проблемным сценарием: он не поддерживает современные интерактивные способы входа, включая MFA и SSO. Фактически пароль передается напрямую на конечную точку token, минуя привычные этапы дополнительной проверки. Этим и воспользовались нападавшие, когда находили верную пару «логин‑пароль».
В ряде пострадавших компаний MFA либо не было вовсе, либо она действовала только частично. Иногда ее включали лишь для администраторов, оставляя обычных сотрудников с более слабой защитой. В других случаях запрос MFA появлялся только при подключении из недоверенных сетей: если вход выполнялся с доверенного IP‑адреса, дополнительная проверка не запускалась. Отдельно Huntress указала на еще один типичный просчет — политики Conditional Access в некоторых средах работали лишь в режиме отчетности, то есть фиксировали рискованные входы, но не блокировали их.
Какие шаги важнее всего
По итогам этой кампании специалисты по кибербезопасности выделили меры, заметно снижающие вероятность повторения подобных инцидентов:
распространить MFA на всех пользователей без исключений;
включить защиту для всех облачных приложений и всех типов клиентских приложений;
ограничить использование Azure CLI для сотрудников без административных прав;
оценивать проблему не количеством попыток распыления паролей, а фактом компрометации действующих учетных данных.
В конечном счете история вновь подтвердила простой, но часто игнорируемый вывод: угрозу создают не только отсутствие MFA, но и ее формальное внедрение без покрытия всех реальных сценариев входа. Из‑за этого неправильно настроенные политики доступа нередко оказываются для злоумышленников инструментом ценнее, чем любой технически сложный взлом.