Serangan Password Spraying Hantam Microsoft 365, Tembus 81 Juta Percobaan Login dalam Dua Pekan

Kampanye password spraying berskala besar menargetkan lingkungan Microsoft 365 dengan menghasilkan lebih dari 81 juta percobaan login hanya dalam kurun waktu dua minggu. Serangan ini berhasil mengompromikan puluhan akun karena memanfaatkan konfigurasi Multi-Factor Authentication (MFA) yang kurang tepat.
Laporan tersebut diungkap oleh perusahaan keamanan siber Huntress, yang mengamati aktivitas serangan antara 12 hingga 26 Juni 2026.
Memanfaatkan Kredensial yang Pernah Bocor
Alih-alih menebak kata sandi secara acak, pelaku menggunakan kombinasi username dan password yang masih valid dari berbagai kebocoran data sebelumnya.
Untuk melakukan autentikasi, mereka memanfaatkan Azure Command-Line Interface (CLI) milik Microsoft, yaitu alat yang biasa digunakan administrator untuk mengelola layanan Azure seperti:
- virtual machine,
- aplikasi cloud,
- database,
- serta otomatisasi infrastruktur.
Setelah menemukan pasangan username dan password yang valid, pelaku kemudian masuk menggunakan mekanisme Resource Owner Password Credentials (ROPC) pada OAuth.
ROPC Dapat Melewati MFA yang Salah Konfigurasi
Menurut Huntress, metode ROPC menjadi celah utama dalam kampanye ini.
ROPC tidak mendukung alur autentikasi modern seperti:
- Multi-Factor Authentication (MFA),
- maupun Single Sign-On (SSO).
Akibatnya, kredensial dikirim langsung ke endpoint /token tanpa memunculkan tantangan MFA apabila organisasi memiliki kebijakan Conditional Access yang tidak dikonfigurasi dengan benar.
Dalam investigasinya, Huntress menemukan:
- 78 akun Microsoft berhasil dikompromikan.
- Berasal dari 64 organisasi yang menjadi korban.
Kesalahan Konfigurasi yang Paling Banyak Ditemukan
Huntress mengidentifikasi beberapa konfigurasi keamanan yang membuat organisasi rentan terhadap serangan ini, di antaranya:
- MFA hanya diterapkan pada aplikasi tertentu, bukan untuk All Cloud Apps.
- MFA hanya diwajibkan bagi kelompok pengguna tertentu, misalnya administrator.
- MFA hanya aktif ketika login berasal dari lokasi yang dianggap tidak tepercaya.
- Kebijakan Conditional Access masih berada dalam mode Report-only, sehingga tidak pernah benar-benar diterapkan.
- Bahkan terdapat organisasi yang sama sekali belum mengaktifkan MFA.
Dengan kondisi tersebut, pelaku dapat memanfaatkan ROPC untuk memperoleh token autentikasi tanpa harus melewati verifikasi tambahan.
Lonjakan Serangan Hingga 155 Kali Lipat
Huntress mencatat peningkatan aktivitas password spraying yang sangat signifikan.
Secara keseluruhan:
- jumlah serangan meningkat lebih dari 155 kali lipat dibandingkan sebelumnya;
- setiap tenant Microsoft 365 kini rata-rata menerima sekitar 1.964 percobaan login gagal setiap bulan.
Puncak aktivitas serangan terjadi pada 22 Juni 2026.
Asal Serangan Masih Diselidiki
Hingga kini identitas pelaku belum diketahui.
Namun Huntress menemukan bahwa lalu lintas serangan berasal dari rentang alamat IPv6 milik LSHIY LLC (AS32167).
Perusahaan keamanan tersebut telah melaporkan aktivitas tersebut melalui kanal penyalahgunaan (abuse report) milik LSHIY, tetapi belum menerima tanggapan saat laporan dipublikasikan.
Rekomendasi untuk Administrator
Huntress mengimbau administrator Microsoft 365 untuk segera meninjau konfigurasi Conditional Access dan memastikan bahwa:
- MFA diterapkan untuk All Cloud Apps.
- Kebijakan tidak hanya berlaku bagi administrator.
- Mode Report-only dinonaktifkan dan kebijakan benar-benar diterapkan.
- Metode autentikasi lama seperti ROPC dibatasi atau dinonaktifkan apabila sudah tidak diperlukan.
Langkah-langkah tersebut dinilai penting untuk mencegah penyalahgunaan kredensial yang berasal dari kebocoran data sebelumnya.
Sumber: Huntress








