สรุปสั้น
บริษัท Huntress เปิดเผยการโจมตีแบบ password spray ขนาดใหญ่ที่มุ่งเป้าไปยัง Azure CLI (command-line interface) ของ Microsoft โดยผู้โจมตียิงรหัสผ่านมากกว่า 81 ล้านครั้งในช่วงวันที่ 12-26 มิถุนายน 2026 สามารถเจาะเข้าบัญชี Microsoft ได้สำเร็จอย่างน้อย 78 บัญชีใน 64 องค์กร การโจมตีมาจากช่วง IPv6 address (2a0a:d683::/32) ที่ควบคุมโดยผู้ให้บริการโครงสร้างพื้นฐานอินเทอร์เน็ต LSHIY LLC (AS32167) โดยใช้ข้อมูลรหัสผ่านจากฐานข้อมูลที่เคยรั่วไหลในอดีตแต่ไม่เคยถูกเปลี่ยน
สิ่งที่น่าตกใจคือหลายองค์กรที่ถูกเจาะมี Conditional Access Policy (CAP) และ MFA เปิดใช้งานอยู่แล้ว แต่ผู้โจมตีใช้ช่องโหว่ของ Resource Owner Password Credentials (ROPC) ซึ่งเป็น OAuth flow เก่าที่ถูกยกเลิกแล้วใน OAuth 2.1 เพื่อข้ามการบังคับ MFA ROPC ส่งชื่อผู้ใช้และรหัสผ่านตรงไปยัง authorization server โดยไม่ผ่าน authorization endpoint ที่ CAP ถูกบังคับใช้ ทำให้แม้องค์กรจะตั้ง MFA ไว้แต่ถ้าไม่ครอบคลุม “All Users, All Cloud Apps, All Client App types” ก็ยังถูกข้ามได้ บริษัท Huntress พบว่าปริมาณการโจมตี credential spray เพิ่มขึ้นกว่า 155 เท่าในฐานลูกค้าของตน
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 1 กรกฎาคม พ.ศ. 2569 ว่าบริษัท Huntress ได้เผยแพร่รายงานเกี่ยวกับแคมเปญ password spray ขนาดใหญ่ที่กำลังดำเนินอยู่ ซึ่งมุ่งเป้าไปที่ Azure CLI ของ Microsoft
ในช่วงวันที่ 12-21 มิถุนายน การโจมตีส่งผลให้มีบัญชีถูกเจาะเฉลี่ย 2-4 บัญชีต่อวัน ยกเว้นวันที่ 19 มิถุนายนที่มีบัญชีถูกเจาะ 12 บัญชี จากนั้นในวันที่ 22 มิถุนายนมีการเปลี่ยนแปลงรูปแบบอย่างชัดเจน โดยมีบัญชีถูกเจาะ 30 บัญชีใน 23 องค์กรในวันเดียว รวมทั้งแคมเปญเจาะสำเร็จ 78 บัญชีใน 64 องค์กร การโจมตีส่วนใหญ่มาจาก LSHIY LLC โดย IP บางส่วนแก้เป็นที่อยู่ในสหรัฐอเมริกาและบางส่วนในจีน
บริษัท Huntress ระบุว่าการโจมตีนี้เป็นส่วนหนึ่งของคลื่นการโจมตี credential spray ขนาดใหญ่ที่กระจายข้ามหลาย ASN โดยปริมาณเพิ่มขึ้นกว่า 155 เท่าในฐานลูกค้า มีค่าเฉลี่ยปัจจุบันอยู่ที่ประมาณ 1,964 ครั้งต่อเดือนต่อ tenant ที่ Huntress ดูแล การโจมตีใช้ข้อมูลชื่อผู้ใช้และรหัสผ่านจากฐานข้อมูลที่เคยรั่วไหลในอดีตแต่ไม่เคยถูกเปลี่ยน
ในบรรดา 64 องค์กรที่ถูกกระทบ มี 8 องค์กรที่ไม่มี MFA policy เลย ส่วนที่เหลือแม้เปิด MFA แต่ตั้งค่าไม่ครอบคลุม เช่น บังคับ MFA เฉพาะบางแอปพลิเคชัน เฉพาะกลุ่มผู้ดูแลระบบ หรือเฉพาะเมื่อเข้าถึงจากเครือข่ายที่ไม่น่าเชื่อถือ ทำให้การล็อกอินผ่าน Azure CLI ด้วย ROPC ไม่ถูกบังคับ MFA
วิธีการโจมตี
ผู้โจมตีใช้ Resource Owner Password Credentials (ROPC) ซึ่งเป็น legacy OAuth 2.0 grant type ที่ผู้ใช้ส่งชื่อผู้ใช้และรหัสผ่านตรงไปยังแอปพลิเคชัน แล้วแอปพลิเคชันส่งต่อไปยัง authorization server เพื่อแลกเปลี่ยนเป็น access token โดยไม่ต้องผ่าน authorization endpoint ที่ Conditional Access Policy (CAP) ถูกบังคับใช้ ROPC ถูกยกเลิกแล้วใน OAuth 2.1 และ Microsoft เองก็แนะนำให้ไม่ใช้เพราะไม่รองรับ MFA
ช่องโหว่ของ CAP ที่ถูกใช้ประโยชน์มีหลายรูปแบบ ได้แก่ การบังคับ MFA เฉพาะบางแอปพลิเคชันโดยไม่ครอบคลุม “All Cloud Apps” ทำให้ Azure CLI login หลุดรอด, การบังคับ MFA เฉพาะกลุ่มผู้ใช้บางกลุ่ม (เช่น Admin เท่านั้น) และการบังคับ MFA เฉพาะเมื่อ request มาจากเครือข่ายที่ไม่น่าเชื่อถือ
การโจมตีใช้ข้อมูลรหัสผ่านจากรายการ combo list ที่เคยรั่วไหลในอดีต โดยเลือกเป้าหมายจากความแพร่หลายของรหัสผ่านในรายการ ไม่ได้เจาะจงประเภทธุรกิจหรืออุตสาหกรรม และมาจากช่วง IPv6 address ที่ควบคุมโดย LSHIY LLC (AS32167)
ผลกระทบต่อไทย
องค์กรในประเทศไทยที่ใช้ Microsoft 365 และ Azure มีจำนวนมากและเพิ่มขึ้นเรื่อยๆ โดยเฉพาะในภาคเอกชนและหน่วยงานราชการ หลายแห่งอาจตั้งค่า Conditional Access Policy ไม่ครอบคลุมเช่นเดียวกับองค์กรที่ถูกเจาะในรายงานนี้ โดยเฉพาะองค์กรที่เพิ่งเริ่มใช้ Azure หรือยังไม่ได้ปิด legacy authentication protocol อย่าง ROPC นอกจากนี้ หากพนักงานยังใช้รหัสผ่านเดิมที่ไม่เคยเปลี่ยนหลังจากเกิดเหตุข้อมูลรั่วไหล ก็มีความเสี่ยงสูงที่จะถูกเจาะด้วยวิธีเดียวกัน
คำแนะนำ
- ตั้งค่า Conditional Access Policy ให้บังคับ MFA สำหรับ All Users, All Cloud Apps และ All Client App types เพื่อไม่ให้มีช่องว่าง
- ปิดการใช้งาน ROPC และ legacy authentication protocol อื่นๆ ที่ไม่จำเป็น
- จำกัดการเข้าถึง Azure CLI application สำหรับผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบ
- บังคับเปลี่ยนรหัสผ่านสำหรับบัญชีที่พบในฐานข้อมูลรั่วไหล โดยใช้เครื่องมือเช่น Azure AD Password Protection
- ตรวจสอบ sign-in log ว่ามีการล็อกอินสำเร็จจาก IPv6 range 2a0a:d683::/32 หรือ AS32167 หรือไม่ หากพบให้ถือว่าบัญชีนั้นถูกบุกรุก
