6月12日至26日,短短15天里,微软Microsoft 365账户遭遇了超过8100万次登录尝试。安全公司Huntress披露,这不是一次“穷举密码”的暴力破解,而是一场精心算计的密码喷洒攻击。最终,至少64家机构的78个账户被成功突破,而大多数安全系统连警报都没拉响。
密码喷洒是什么玩法?可以这样理解:黑客手上攥着一批从过往泄露事件中扒下来的账号密码对,他们不去对着单一账户猛试100次,而是拿着这几组“通用钥匙”,在整片账户大海里每个门只拧一两次。这样一来,单账户的错误登录频次极低,完美躲开“多次失败即锁定”的暴力破解检测。
![]()
更隐蔽的是,这次攻击全程使用了微软自家的Azure命令行工具(Azure CLI)。所有登录请求混在正常的API调用里,安全监控很难从海量日志中嗅出异常。Huntress研究人员强调,攻击核心依赖着一项颇为老旧的授权方式——资源所有者密码凭据(ROPC)。
ROPC是OAuth协议早期推出的一种做法,允许客户端直接把用户名和密码丢过去,换回访问令牌,完全绕开了现代交互式登录的安全检查。正因如此,黑客选择这条通道后,企业原本部署的多因素认证(MFA)和条件访问策略(CAP)就形同虚设。只要手里有已泄漏的密码,就能趁着夜色摸进账号。
具体操作链非常直接:
1. 攻击者准备一份泄漏密码库。
2. 通过Azure CLI发起ROPC授权流程。
3. 以极低频率循环尝试海量账户。
4. 命中正确组合后直接获取令牌,无需二次验证。
这种“轻踩油门”的策略,使得它看起来就像正常用户不小心输错了一次密码,传统告警阈值完全踩不到。Huntress在追踪攻击源头时,发现大量恶意流量来自一个归属LSHIY LLC的IPv6地址段,已向对方提交滥用举报,但至今未收到回复,攻击者身份仍是个谜。
8千多万次试探留下的教训很清楚:MFA并不是万能金钟罩,如果底层还允许ROPC这样犟脾气的旧授权协议跑稳,防御体系就留着一扇“免密小门”。企业IT团队恐怕得赶紧排查一下Azure AD的ROPC设置,别让它成了黑客最喜欢的后门剧本。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.