Telset.id – Sebuah serangan password spraying berhasil membobol 78 akun Microsoft 365 milik 64 organisasi dalam kurun waktu dua pekan. Para peretas memanfaatkan celah pada kebijakan Conditional Access yang tidak dikonfigurasi dengan benar untuk melewati autentikasi multi-faktor (MFA).
Perusahaan keamanan siber Huntress mengamati kampanye serangan ini saat menargetkan para pelanggannya. Serangan tersebut berlangsung antara 12 Juni hingga 26 Juni 2026 dan mencatat lebih dari 81 juta percobaan login selama periode tersebut.
Para peretas menggunakan kredensial yang sebelumnya telah bocor untuk menyerang akun Microsoft 365. Mereka kemudian menyalahgunakan kebijakan Conditional Access yang diterapkan secara tidak tepat dalam mekanisme OAuth Resource Owner Password Credentials (ROPC) menggunakan antarmuka baris perintah Azure (Azure CLI). Hal ini memungkinkan peretas untuk melewati autentikasi sama sekali ketika menemukan kombinasi nama pengguna dan kata sandi yang cocok.
Keberhasilan serangan ini pada akhirnya bergantung pada seberapa baik organisasi menerapkan kebijakan Conditional Access terkait autentikasi multi-faktor. “Banyak dari bisnis yang diretas telah menerapkan MFA melalui Kebijakan Akses Bersyarat, tetapi MFA tidak dikonfigurasi untuk mencakup aliran spesifik yang digunakan penyerang ini,” jelas Huntress, merujuk pada eksploitasi ROPC.
“ROPC dianggap bermasalah karena beberapa alasan, tetapi salah satu alasannya adalah tidak mendukung aliran auth modern seperti MFA atau SSO. Itu berarti, seperti yang kita lihat dalam kampanye ini, ROPC mengirim kata sandi langsung ke titik akhir /token tanpa prompt MFA interaktif,” tambah Huntress.

Beberapa organisasi yang diretas tidak menerapkan kebijakan MFA sama sekali. Sementara yang lain hanya menerapkan MFA untuk grup pengguna tertentu seperti administrator. Dalam kasus lain, upaya login hanya memerlukan MFA ketika lalu lintas berasal dari lokasi yang tidak tepercaya. Artinya, MFA tidak diterapkan jika koneksi berasal dari alamat IP tepercaya.
Selain itu, beberapa organisasi hanya menerapkan MFA dalam mode laporan saja. Ini berarti kebijakan MFA tidak pernah benar-benar diterapkan.
Untuk melindungi dari serangan jenis ini, Huntress merekomendasikan mitigasi berikut:
- Organisasi harus menerapkan MFA untuk Semua Pengguna, Semua Aplikasi Cloud, dan Semua jenis Aplikasi Klien
- Aplikasi Azure CLI harus dibatasi penggunaannya hanya untuk pengguna non-admin
- Respons terhadap serangan harus didasarkan pada validitas kredensial, bukan volume percobaan login
Baca Juga:
Kasus ini menunjukkan betapa pentingnya konfigurasi keamanan yang tepat, terutama dalam penerapan kebijakan Conditional Access. Organisasi yang telah mengimplementasikan MFA pun tetap bisa rentan jika kebijakan tersebut tidak mencakup semua aliran autentikasi, termasuk ROPC yang tidak mendukung MFA.
Perusahaan keamanan siber juga menekankan bahwa respons terhadap serangan password spraying sebaiknya didasarkan pada validitas kredensial yang digunakan, bukan pada volume percobaan login. Pendekatan ini memungkinkan deteksi yang lebih akurat terhadap upaya peretasan yang berhasil.
Dengan semakin canggihnya teknik serangan siber, organisasi perlu secara berkala mengevaluasi dan memperbarui kebijakan keamanan mereka. Penerapan MFA secara menyeluruh untuk semua pengguna dan semua aplikasi menjadi langkah fundamental yang tidak boleh diabaikan.
Serangan ini menjadi pengingat bahwa keamanan siber bukan hanya tentang mengadopsi teknologi, tetapi juga tentang konfigurasi yang tepat dan pemantauan berkelanjutan. Organisasi harus memastikan bahwa setiap kebijakan keamanan yang diterapkan benar-benar berfungsi sebagaimana mestinya, bukan sekadar aktif di atas kertas.
Huntress merekomendasikan pembatasan penggunaan aplikasi Azure CLI hanya untuk pengguna non-admin sebagai langkah mitigasi tambahan. Langkah ini dapat mempersempit vektor serangan yang dapat dieksploitasi oleh peretas.
Dengan meningkatnya ancaman siber yang menargetkan layanan cloud, organisasi di Indonesia juga perlu waspada. Penerapan praktik keamanan terbaik seperti yang direkomendasikan oleh Huntress dapat membantu mengurangi risiko kebocoran data dan akses tidak sah ke akun pengguna.
Ke depannya, kesadaran akan pentingnya konfigurasi keamanan yang tepat harus menjadi prioritas bagi setiap organisasi yang menggunakan layanan Microsoft 365. Audit keamanan secara berkala dan pelatihan pengguna juga menjadi bagian integral dari strategi pertahanan siber yang komprehensif.
Serangan password spraying ini menunjukkan bahwa peretas terus mencari celah dalam implementasi keamanan, bukan hanya dalam teknologi itu sendiri. Oleh karena itu, pendekatan keamanan berlapis dengan konfigurasi yang tepat menjadi kunci utama dalam melindungi aset digital organisasi.
Organisasi disarankan untuk segera mengevaluasi kebijakan Conditional Access mereka dan memastikan bahwa MFA diterapkan secara menyeluruh untuk semua skenario akses. Jangan sampai kebijakan yang setengah hati menjadi celah yang dimanfaatkan oleh peretas untuk mengakses data sensitif perusahaan.
Dengan menerapkan rekomendasi dari Huntress, organisasi dapat secara signifikan mengurangi risiko serangan serupa di masa depan. Keamanan siber adalah tanggung jawab bersama yang membutuhkan komitmen dari seluruh lapisan organisasi.
Para pemimpin IT dan keamanan harus bekerja sama untuk memastikan bahwa setiap lapisan pertahanan berfungsi optimal. Kolaborasi antara tim teknis dan manajemen sangat penting dalam membangun budaya keamanan yang kuat di seluruh organisasi.
Pada akhirnya, investasi dalam keamanan siber bukanlah biaya, melainkan perlindungan terhadap aset paling berharga perusahaan di era digital ini. Serangan seperti yang diidentifikasi oleh Huntress ini menjadi pelajaran berharga bagi semua organisasi pengguna Microsoft 365.
Dengan meningkatnya kompleksitas ancaman siber, pendekatan proaktif dalam keamanan menjadi semakin penting. Organisasi harus terus memperbarui pengetahuan dan infrastruktur keamanan mereka untuk menghadapi tantangan yang terus berkembang.
Penerapan MFA yang tepat, pembatasan akses aplikasi Azure CLI, dan respons berbasis validitas kredensial adalah langkah-langkah konkret yang dapat segera diimplementasikan. Langkah-langkah ini akan membantu organisasi membangun pertahanan yang lebih tangguh terhadap serangan password spraying dan teknik peretasan lainnya.





Komentar
Belum ada komentar.