6月中旬,一场针对微软Azure命令行接口的密码喷洒攻击,用超过8100万次登录尝试轰开了至少78个微软账户。Huntress安全团队追踪到,攻击源头是一个IPv6地址段2a0a:d683::/32,由互联网基础设施商LSHIY LLC控制。攻击者从6月12日持续到26日,平均每天得手2到4个账号,在6月22日达到单日冲击30个身份的峰值,最终波及64家组织。
让这波操作更扎眼的是,许多中招的企业明明启用了条件访问策略。按说这类策略能根据用户风险等级、设备状态等动态拦截异常登录,可偏偏被一个已废弃的旧版OAuth流程钻了空子——资源所有者密码凭据(ROPC)授权。ROPC允许用户直接把用户名密码交给客户端应用,由应用拿去向授权服务器换访问令牌,整个过程中多因素认证(MFA)机制完全不起作用。微软官方文档早已提醒,这个在OAuth 2.1中被弃用的流程“和MFA不兼容”,且“需要极高程度信任应用,存在其他流程没有的风险”,只在更安全的流程无法实现时才建议使用。
![]()
攻击者专门瞄准那些泄露后从未轮换过的老旧用户名/密码组合,利用ROPC绕开条件访问策略的保护,像侧门一样重新激活了一堆本应作废的凭据。从Huntress的监控数据看,同一时段内,其客户群遭到的凭据喷洒攻击量暴增了155倍,5月底到6月初尤其汹涌,单租户月均失败登录数飙至约1964次。这些攻击并不区分行业或业务类型,纯粹跟着组合列表里的流行密码走,哪个用得广、哪个还在有效,就打哪个。
IP归属也透露出跨地域的行动轨迹:大部分攻击流量来自LSHIY LLC旗下网络,部分IP解析到美国,另有少量解析到中国。微软在回应中再次强调,用ROPC无法启用MFA,客户应尽快迁移到支持现代认证的授权流程。这场攻击像是给所有把条件访问策略当成万能盾牌的人提了个醒:如果基础设施里还留着一条被忘记的旧管道,再坚固的城门也挡不住绕路的敲门声。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.