SIKKERHET

Mer enn 1,2 millioner Microsoft-kontoer ble kompromittert i januar

Så godt som alle hadde én ting til felles.

Nesten alle kontoinnbrudd hos Microsoft-kunder skjer i kontoer hvor flerfaktor autentisering ikke er aktivert.
Nesten alle kontoinnbrudd hos Microsoft-kunder skjer i kontoer hvor flerfaktor autentisering ikke er aktivert. Skjermbilde: digi.no
Harald BrombachHarald BrombachNyhetsleder
9. mars 2020 - 13:59

Rundt 0,5 prosent av mer enn 1 milliarder kontoene som er registrert i Microsofts Azure Active Directory-tjeneste, blir kompromittert hver måned. Dette inkluderer både bedriftskontoer og personlige kontoer, blant annet knyttet til Office 365. 

En hacker hevder å selge konto med adgang til Helthjem i et undergrunnsforum.
Les også

Her forsøker noen å selge adgang til Helthjems database

Dette fortalte Lee Walker og Alex Weinert fra Microsoft i et foredrag under RSA-konferansen i slutten av februar. Sistnevnte er selskapets direktør for identitetssikkerhet. Et opptak av foredraget er tilgjengelig her. Det er omtalt av blant annet The Register og ZDNet. Presentasjonsfilen fra foredraget er tilgjengelig på denne siden.

Spray og replay

Rundt 40 prosent av kompromitteringene skyldes enkle spray-angrep, hvor angripere tar i bruk databaser med brukernavn og forsøker å kombinere disse med de vanligste passordene. 

Omtrent like mange av kompromitteringene skyldes såkalte replay-angrep, som utnytter det faktum at mange bruker samme brukernavn og passord på mange ulike steder. Svært mange slike brukernavn- og passordkombinasjoner har blitt lekket fra andre tjenester enn Microsofts. 

De resterende kompromitteringene skyldes mer avanserte angrep, slik som phishing. 

Flere faktorer

I mellom 97 og 99,9 prosent av tilfellene har de kompromitterte kontoene manglet multifaktor autentisering (MFA), altså annen verifisering enn brukernavn og passord. 

Én ting er det at bare svært få av brukerne har tatt i bruk MFA. Andelen skal være på 11 prosent hos bedriftskundene. En annen faktor er det at mange benytter eldre tjenester som ikke støtter MFA, slik som e-postprotokoller som SMTP, IMAP og POP, men også gamle autentiseringsprotokoller som støttes av blant annet Exchange og Outlook.

Kontokompromitteringer rangert etter bruk av protokoll. <i>Illustrasjon:  Microsoft</i>
Kontokompromitteringer rangert etter bruk av protokoll. Illustrasjon:  Microsoft
Bendik Bygstad.
Les også

Ti år gammel artikkel om digital infrastruktur er sitert 1000 ganger – nå hedres forskerne

For brukere som benytter Microsofts tjenester med SMTP-protokollen, er sannsynligheten for at kontoen blir kompromittert på 7,2 prosent.

Microsoft skal ha observert en nedgang i 67 prosent i mengden av kontokompromitteringer hos kunder som deaktiverer tilgangen til de gamle protokollene. 

Modern Auth

I forbindelse med Outlook.com har Microsoft lenge tilbudt det selskapet kaller for Modern Auth for IMAP, som støtter MFA og OAuth. Dette har derimot ikke vært tilgjengelig for kommersielle Office 365-kunder før helt nylig, da Microsoft kunngjorde slik støtte i forbindelse med både POP og IMAP, i tillegg til andre forbedringer. 

Dette forutsetter selvfølgelig at epostklienten som brukes, også støtter Modern Auth. 

Foredragsholderne fra Microsoft innrømmer at det ikke bare er enkelt å droppe støtten for de gamle protokollene. I presentasjonen sammenlignes dette med å utføre en vanskelig operasjon i mørket. Det er likevel nødvendig. Støtten for «Basic auth» for Exchange Web Services fjernes i oktober i år.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Store muligheter for norsk design i USA
Store muligheter for norsk design i USA
Les også

NSM sier Eidsiva har noen fordeler når de nå vil levere en nasjonal sky-tjeneste

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.