微软用户近期遭受一场大规模自动化密码喷射攻击。安全公司Huntress的客户也在此次攻击的波及范围之内。Huntress在报告中指出攻击者在6月12日至26日期间针对其客户账户共发起8100万次登录尝试其中至少78个账户已被成功入侵。这仅是针对同时身为Huntress客户的微软账户持有者所发动的攻击。由于密码喷射攻击本身具有无差别尝试的特性实际被攻破的账户数量可能远不止于此。Huntress在一篇博客文章中表示所有攻击均来自同一来源即由互联网服务提供商LSHIY LLC控制的一段IPv6地址段。LSHIY随后已终止了涉事IP地址所属客户的访问权限。Huntress此前已持续监测密码喷射攻击活动发现攻击频率自6月12日起略有上升并于6月22日出现骤然激增当日共有30名客户受到影响。此次攻击者通过OAuth ROPC资源所有者密码凭证流程对已验证的凭据进行重放攻击。该流程可在获得正确凭据后通过租户的/token端点接收用户名与密码并生成新的用户委托Token。攻击之所以得逞原因在于多因素认证MFA未被配置为能够应对攻击者所采用的技术手段。Huntress指出在部分情况下MFA仅针对特定应用程序启用而非面向所有云应用统一强制执行。例如部分组织仅对微软管理员门户启用了MFA而攻击者所使用的Azure CLI登录方式并不在该范围之内。在其他情况下某些组织仅对特定用户群体如仅限管理员启用MFA而被攻破的用户账户并不在这些特定用户群体的保护范围之内。QAQ1什么是密码喷射攻击它和普通暴力破解有什么区别A密码喷射攻击是一种自动化攻击方式攻击者使用少量常见密码对大量账户逐一尝试而非对单个账户反复试错。这种方式可以绕过账户锁定机制因为每个账户只被尝试少数几次。与传统暴力破解不同密码喷射攻击更具隐蔽性更难被常规安全监控发现因此往往能在短时间内影响大规模用户群体。Q2MFA多因素认证为何没能阻止此次攻击A此次攻击成功的关键原因在于MFA的配置存在漏洞。部分组织仅对特定应用如微软管理员门户启用了MFA而未覆盖攻击者所使用的Azure CLI登录方式另一些组织则仅对管理员等特定用户群体启用MFA普通用户账户未被纳入保护范围。因此攻击者得以绕过MFA防护通过OAuth ROPC流程成功入侵账户。Q3企业应如何防范类似的密码喷射攻击A防范密码喷射攻击企业应确保MFA策略覆盖所有云应用而非仅限于特定应用或特定用户群体。同时建议持续监控异常登录行为尤其关注来自陌生IP地址段的批量登录请求。此外定期审查账户访问权限、强制使用高强度密码以及及时封禁可疑IP地址也是有效的防护措施。