Basado en información de The Hacker News →
Introducción
Más de 81 millones de intentos de autenticación dirigidos contra la interfaz de línea de comandos de Azure han comprometido al menos 78 cuentas de Microsoft. Este no es un ataque sofisticado: es un bombardeo sistemático que explota una debilidad humana y de configuración que muchas organizaciones todavía subestiman.
El problema
De acuerdo con un reporte de The Hacker News, investigadores de seguridad de Huntress detectaron una campaña activa y masiva de "password spraying" (rociado de contraseñas) contra Azure CLI. El ataque, que tuvo lugar entre el 12 y el 26 de junio, se origina desde un rango de direcciones IPv6 (2a0a:d683::/32) controlado por el proveedor de infraestructura LSHIY LLC (AS32167). Hasta el momento de la publicación, se ha confirmado el compromiso de por lo menos 78 cuentas de Microsoft.
Consecuencias
Una cuenta comprometida dentro de un entorno Azure no es un incidente aislado: es el punto de apoyo que un atacante necesita para desplazarse lateralmente a otros sistemas, acceder a datos sensibles o desplegar cargas maliciosas en la nube. Con 81 millones de intentos, la escala del ataque indica un esfuerzo automatizado que puede estar probando credenciales provenientes de filtraciones anteriores. El objetivo final podría ser desde el robo de información hasta el secuestro de recursos de cómputo para minería de criptomonedas.
Causas
La causa raíz es la combinación de dos factores: (1) credenciales débiles, reutilizadas o expuestas previamente, y (2) la ausencia de controles de autenticación robustos en Azure CLI, como la exigencia de autenticación multifactor (MFA) o políticas de bloqueo por intentos fallidos. El password spraying funciona precisamente porque prueba un puñado de contraseñas comunes contra muchas cuentas, evitando activar los bloqueos por cuenta que detectarían ataques de fuerza bruta tradicionales.