Serangan Password Spraying Sasar Microsoft 365, Tercatat 81 Juta Percobaan Login dalam Dua Pekan

Sebuah kampanye password spraying berskala besar dilaporkan menargetkan lingkungan Microsoft 365, dengan menghasilkan lebih dari 81 juta percobaan login hanya dalam kurun waktu dua minggu.
Menurut laporan perusahaan keamanan siber Huntress, pelaku memanfaatkan kombinasi nama pengguna dan kata sandi yang masih valid dari berbagai kebocoran data sebelumnya untuk mencoba mengakses akun Microsoft 365 milik organisasi.
Memanfaatkan Azure CLI dan OAuth ROPC
Dalam serangan ini, pelaku menggunakan Microsoft Azure Command-Line Interface (Azure CLI) sebagai jalur autentikasi.
Azure CLI merupakan alat yang umum digunakan administrator untuk mengelola layanan cloud Microsoft Azure, seperti virtual machine, database, aplikasi, hingga proses otomatisasi.
Setelah menemukan kombinasi username dan password yang masih valid, pelaku melakukan autentikasi menggunakan mekanisme Resource Owner Password Credentials (ROPC) pada OAuth.
Metode tersebut memungkinkan proses login dilakukan tanpa melalui alur autentikasi modern yang biasanya melibatkan Multi-Factor Authentication (MFA).
78 Akun Berhasil Diretas
Huntress mengamati kampanye ini berlangsung antara 12 hingga 26 Juni 2026.
Selama periode tersebut, perusahaan mengonfirmasi bahwa pelaku berhasil mengompromikan:
- 78 akun Microsoft 365
- Milik 64 organisasi
Puncak aktivitas serangan terjadi pada 22 Juni, ketika jumlah percobaan login meningkat secara signifikan.
Konfigurasi MFA Menjadi Celah
Huntress menjelaskan bahwa sebagian besar organisasi yang menjadi korban sebenarnya telah mengaktifkan Multi-Factor Authentication (MFA).
Namun, konfigurasi Conditional Access Policy (CAP) yang kurang tepat membuat perlindungan tersebut tidak berlaku pada metode login melalui ROPC.
Beberapa kelemahan konfigurasi yang ditemukan meliputi:
- MFA hanya diterapkan pada aplikasi tertentu, bukan seluruh layanan cloud.
- MFA hanya diwajibkan untuk kelompok pengguna tertentu, misalnya administrator.
- MFA hanya berlaku jika login berasal dari lokasi yang dianggap tidak tepercaya.
- Kebijakan masih berada pada mode Report-only, sehingga tidak benar-benar diterapkan.
- Beberapa organisasi bahkan belum mengaktifkan MFA sama sekali.
Karena ROPC mengirimkan kredensial langsung ke endpoint autentikasi tanpa proses interaktif, pengguna tidak menerima permintaan verifikasi MFA meskipun fitur tersebut telah diaktifkan dalam kondisi tertentu.
Serangan Meningkat Drastis
Secara keseluruhan, Huntress mencatat peningkatan serangan password spraying hingga lebih dari 155 kali lipat dibandingkan sebelumnya.
Saat ini, rata-rata setiap tenant Microsoft 365 mengalami sekitar 1.964 percobaan login gagal setiap bulan akibat jenis serangan tersebut.
Lonjakan ini menunjukkan bahwa password spraying masih menjadi salah satu teknik yang efektif untuk mengeksploitasi akun yang menggunakan kata sandi hasil kebocoran data lama.
Pelaku Belum Teridentifikasi
Hingga kini identitas pelaku belum diketahui.
Namun, Huntress menemukan bahwa aktivitas serangan berasal dari rentang alamat IPv6 yang dimiliki oleh LSHIY LLC (AS32167).
Perusahaan keamanan tersebut mengaku telah melaporkan temuan tersebut melalui portal pelaporan penyalahgunaan milik penyedia layanan tersebut, tetapi belum menerima tanggapan saat laporan dipublikasikan.
Organisasi Disarankan Meninjau Kebijakan MFA
Kasus ini menjadi pengingat bahwa mengaktifkan MFA saja belum tentu cukup apabila konfigurasi Conditional Access tidak mencakup seluruh metode autentikasi.
Organisasi disarankan untuk:
- Menerapkan MFA pada semua aplikasi cloud.
- Menonaktifkan atau membatasi penggunaan ROPC jika tidak benar-benar dibutuhkan.
- Meninjau kembali seluruh kebijakan Conditional Access.
- Menggunakan kata sandi yang unik serta tidak pernah muncul pada kebocoran data sebelumnya.
Langkah-langkah tersebut dapat membantu mengurangi risiko keberhasilan serangan password spraying yang semakin sering menyasar lingkungan Microsoft 365.
Sumber: Huntress








