Microsoft 365用户遭遇大规模密码喷洒攻击
作者: CBISMB
责任编辑: 邹大斌
来源: CBISMB
时间: 2026-07-06 10:44
浏览: 1
点赞: 0
收藏: 0
Microsoft用户正遭受一场大规模、自动化的密码喷洒攻击。
安全公司Huntress的客户也在攻击目标之列。该公司报告称,6月12日至26日期间,攻击者对其客户账户发起了8100万次登录尝试,并且至少有78次成功得手。
受影响的还只是恰好为Huntress客户的Microsoft账户持有人——实际被攻破的账户数量可能远高于此,因为密码喷洒攻击的本质就是无差别地尝试连接。
Huntress在一篇博客文章中表示,所有攻击均来自同一来源——由互联网服务提供商LSHIY LLC控制的一个IPv6地址范围。LSHIY已终止了涉事IP地址关联客户的使用权限。
Huntress持续监控喷洒攻击已有一段时间。该公司注意到,自6月12日起攻击略有增加,而在6月22日出现突然激增,当天就有30家客户受到影响。
攻击者通过OAuth ROPC(资源所有者密码凭据)流程重放已验证的凭据。该流程在租户的/token端点接收用户名/密码,一旦提供正确的凭据,就会生成一个新的用户委托令牌。攻击之所以得逞,是因为多因素认证(MFA)未能针对攻击者所采用的技术进行正确配置。
Huntress指出,原因在于部分情况下MFA仅对特定应用而非"所有云应用"强制执行。例如,一些组织仅对Microsoft管理门户启用了MFA,而攻击者所使用的Azure CLI登录并不在此覆盖范围内。
在其他案例中,组织只针对特定用户组(如仅限管理员)启用了MFA,而被攻破的用户并不在这些特定用户组的范围内。