Microsoft 365遭大规模密码喷射攻击,逾78个账户沦陷

📅 2026/7/11 1:21:09 👁️ 阅读次数 📝 编程学习
Microsoft 365遭大规模密码喷射攻击,逾78个账户沦陷

微软用户近期遭受一场大规模自动化密码喷射攻击。

安全公司Huntress的客户也在此次攻击的波及范围之内。Huntress在报告中指出,攻击者在6月12日至26日期间,针对其客户账户共发起8100万次登录尝试,其中至少78个账户已被成功入侵。

这仅是针对同时身为Huntress客户的微软账户持有者所发动的攻击。由于密码喷射攻击本身具有无差别尝试的特性,实际被攻破的账户数量可能远不止于此。

Huntress在一篇博客文章中表示,所有攻击均来自同一来源,即由互联网服务提供商LSHIY LLC控制的一段IPv6地址段。LSHIY随后已终止了涉事IP地址所属客户的访问权限。

Huntress此前已持续监测密码喷射攻击活动,发现攻击频率自6月12日起略有上升,并于6月22日出现骤然激增,当日共有30名客户受到影响。

此次攻击者通过OAuth ROPC(资源所有者密码凭证)流程对已验证的凭据进行重放攻击。该流程可在获得正确凭据后,通过租户的/token端点接收用户名与密码,并生成新的用户委托Token。攻击之所以得逞,原因在于多因素认证(MFA)未被配置为能够应对攻击者所采用的技术手段。

Huntress指出,在部分情况下,MFA仅针对特定应用程序启用,而非面向"所有云应用"统一强制执行。例如,部分组织仅对微软管理员门户启用了MFA,而攻击者所使用的Azure CLI登录方式并不在该范围之内。在其他情况下,某些组织仅对特定用户群体(如仅限管理员)启用MFA,而被攻破的用户账户并不在这些特定用户群体的保护范围之内。

Q&A

Q1:什么是密码喷射攻击?它和普通暴力破解有什么区别?

A:密码喷射攻击是一种自动化攻击方式,攻击者使用少量常见密码对大量账户逐一尝试,而非对单个账户反复试错。这种方式可以绕过账户锁定机制,因为每个账户只被尝试少数几次。与传统暴力破解不同,密码喷射攻击更具隐蔽性,更难被常规安全监控发现,因此往往能在短时间内影响大规模用户群体。

Q2:MFA多因素认证为何没能阻止此次攻击?

A:此次攻击成功的关键原因在于MFA的配置存在漏洞。部分组织仅对特定应用(如微软管理员门户)启用了MFA,而未覆盖攻击者所使用的Azure CLI登录方式;另一些组织则仅对管理员等特定用户群体启用MFA,普通用户账户未被纳入保护范围。因此,攻击者得以绕过MFA防护,通过OAuth ROPC流程成功入侵账户。

Q3:企业应如何防范类似的密码喷射攻击?

A:防范密码喷射攻击,企业应确保MFA策略覆盖"所有云应用",而非仅限于特定应用或特定用户群体。同时,建议持续监控异常登录行为,尤其关注来自陌生IP地址段的批量登录请求。此外,定期审查账户访问权限、强制使用高强度密码,以及及时封禁可疑IP地址,也是有效的防护措施。