微軟用戶近期遭受一場大規模自動化密碼噴射攻擊。
安全公司Huntress的客戶也在此次攻擊的波及範圍之內。Huntress在報告中指出,攻擊者在6月12日至26日期間,針對其客戶賬戶共發起8100萬次登錄嘗試,其中至少78個賬戶已被成功入侵。
這僅是針對同時身為Huntress客戶的微軟賬戶持有者所發動的攻擊。由於密碼噴射攻擊本身具有無差別嘗試的特性,實際被攻破的賬戶數量可能遠不止於此。
Huntress在一篇部落格文章中表示,所有攻擊均來自同一來源,即由網際網路服務提供商LSHIY LLC控制的一段IPv6地址段。LSHIY隨後已終止了涉事IP位址所屬客戶的訪問權限。
Huntress此前已持續監測密碼噴射攻擊活動,發現攻擊頻率自6月12日起略有上升,並於6月22日出現驟然激增,當日共有30名客戶受到影響。
此次攻擊者通過OAuth ROPC(資源所有者密碼憑證)流程對已驗證的憑據進行重放攻擊。該流程可在獲得正確憑據後,通過租戶的/token端點接收用戶名與密碼,並生成新的用戶委託Token。攻擊之所以得逞,原因在於多因素認證(MFA)未被配置為能夠應對攻擊者所採用的技術手段。
Huntress指出,在部分情況下,MFA僅針對特定應用程式啟用,而非面向"所有雲應用"統一強制執行。例如,部分組織僅對微軟管理員門戶啟用了MFA,而攻擊者所使用的Azure CLI登錄方式並不在該範圍之內。在其他情況下,某些組織僅對特定用戶群體(如僅限管理員)啟用MFA,而被攻破的用戶賬戶並不在這些特定用戶群體的保護範圍之內。
Q&A
Q1:什麼是密碼噴射攻擊?它和普通暴力破解有什麼區別?
A:密碼噴射攻擊是一種自動化攻擊方式,攻擊者使用少量常見密碼對大量賬戶逐一嘗試,而非對單個賬戶反覆試錯。這種方式可以繞過賬戶鎖定機制,因為每個賬戶只被嘗試少數幾次。與傳統暴力破解不同,密碼噴射攻擊更具隱蔽性,更難被常規安全監控發現,因此往往能在短時間內影響大規模用戶群體。
Q2:MFA多因素認證為何沒能阻止此次攻擊?
A:此次攻擊成功的關鍵原因在於MFA的配置存在漏洞。部分組織僅對特定應用(如微軟管理員門戶)啟用了MFA,而未覆蓋攻擊者所使用的Azure CLI登錄方式;另一些組織則僅對管理員等特定用戶群體啟用MFA,普通用戶賬戶未被納入保護範圍。因此,攻擊者得以繞過MFA防護,通過OAuth ROPC流程成功入侵賬戶。
Q3:企業應如何防範類似的密碼噴射攻擊?
A:防範密碼噴射攻擊,企業應確保MFA策略覆蓋"所有雲應用",而非僅限於特定應用或特定用戶群體。同時,建議持續監控異常登錄行為,尤其關注來自陌生IP位址段的批量登錄請求。此外,定期審查賬戶訪問權限、強制使用高強度密碼,以及及時封禁可疑IP位址,也是有效的防護措施。






