Bilgisayar korsanları, Azure Active Directory ve diğer platformlardaki kendi kendine kayıt sürecinden yararlanıyor. Genellikle, bir kuruluş MFA'yı ilk kez uyguladığında, birçok platform kullanıcılarının MFA cihazlarına hemen kaydolmalarına izin verir. Ancak Azure AD'de varsayılan yapılandırmasında böyle bir kayıt zorunlu değildir. Bu, bir hesap için oturum açma kimlik bilgilerine sahip olan herkesin, o hesapta ilk kez yaptıkları sürece MFA'ya kaydolabileceği anlamına gelir.
Rus casusluk grubu APT29 daha önce bir e-posta listesine parola tahmin saldırısı gerçekleştirmişti. Hacker grubu, kurulmuş ancak hiç kullanılmamış hesapları, kuruluşun VPN altyapısına erişmek için kullanabildi. VPN, kimlik doğrulama ve MFA için Azure AD kullanıyordu.
Mandiant, kuruluşların tüm etkin hesaplarda kayıtlı en az bir MFA cihazı olduğundan emin olmalarını ve MFA kayıt sürecine ek doğrulamalar eklemek için platform satıcılarıyla birlikte çalışmalarını önerir. Microsoft Azure AD kısa süre önce, kuruluşların MFA cihaz kaydı gibi belirli eylemler etrafında denetimleri uygulamasına olanak tanıyan bir özellik kullanıma sundu.
Kuruluşlar ayrıca MFA kaydının konumunu yalnızca dahili ağ veya güvenilir cihazlar gibi güvenilir konumlarla sınırlayabilir. Kişiler MFA cihazına ilk kez katıldığında veya MFA cihazını kaybettiğinde MFA'ya kaydolmak için geçici bir MFA geçişi de kullanabilirler.