网络安全公司Huntress的客户也是本次攻击的目标之一,据该公司报告,在6月12日至26日期间,攻击者对其客户账户进行了高达8100万次的登录尝试,并成功攻破了至少78个账户,这仅仅是同时身为Huntress客户的Microsoft账户持有者的受灾情况。由于密码喷洒攻击本质上是一种无差别的盲目尝试,因此实际被入侵的账户总数可能会高得多。
Huntress在一篇博客文章中表示,这些攻击全部来自同一个源头——由互联网服务提供商LSHIY LLC控制的IPv6地址段。目前,LSHIY已终止了涉事攻击者对相关IP地址的使用权限。
Huntress此前已对密码喷洒攻击进行了持续一段时间的监测,他们注意到攻击次数从6月12日起开始轻微上升,随后在6月22日出现暴增,当天共有30家客户受到波及。
攻击者通过OAuth ROPC(资源所有者密码凭据)流,重放了验证通过的凭据,该流程在获取租户“/token”端点的用户名和密码后,一旦提供了正确的凭据,就会生成一个新的用户委派Token。之所以能够实现这一点,是因为受害企业的双重认证(MFA)配置未能有效应对攻击者所采用的技术。
Huntress指出,导致该漏洞的原因在于:在某些情况下,企业仅针对特定的应用程序强制启用了MFA,而不是选择“所有云应用(All Cloud Apps)”。例如,部分企业仅对微软管理门户强制执行MFA,但这并不能覆盖攻击者所使用的Azure CLI登录场景。
在另一些情况下,企业仅针对特定的用户组(如“仅限管理员”)启用了MFA,而那些被攻破的用户恰好不在这些特定用户组的范围内。
企业网D1net(www.d1net.com):
国内头部to B IT门户,旗下运营国内头部的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。






























































































京公网安备 11010502049343号