警惕大型机器人网络对Microsoft 365的攻击

主要要点

• 超过130,000台受感染设备组成的机器人网络对Microsoft 365帐户发动了大规模的密码喷雾攻击。
• 攻击者利用非交互式签入，绕过现代登录保护和多因素认证 (MFA) 的执行。
• 此类攻击使安全团队面临隐形风险，引发帐户接管和业务中断问题。
• 所有操作Microsoft 365的团队应立即验证其是否受到影响，并进行凭据更换。

一个由超过130,000个受损设备组成的机器人网络正在针对帐户进行大规模的密码喷雾攻击。这些攻击利用了Microsoft的的非交互式签入功能，导致帐户接管、业务中断和横向移动。该技术绕过了现代登录保护，逃避了[多因素认证 (MFA)](https://www.scworld.com/resource/why-you-should-deploy-modern-multi- factor- authentication)的执行，为安全团队创造了一个关键的盲点。据报告，该问题在被揭露。

这项攻击的工作原理如下：攻击者利用从信息窃取者日志中获得的窃取凭据，系统性地针对大量帐户进行攻击。这些攻击记录在非交互式签入日志中，这些日志不会生成同样的警报，经常被安全团队忽视。攻击者利用这一漏洞进行高量的密码喷雾尝试，从而得以不被发现。

研究人员表示，该策略在全球多个Microsoft365租户中被观察到，表明这是一个广泛且持续的威胁。SecurityScorecard建议，任何运营的团队应立即验证是否受到影响，如果是，应更换日志中任意组织的帐户凭据。

Keeper Security的联合创始人兼首席执行官DarrenGuccione指出，这次机器人网络攻击暴露了身份验证安全的一个重大弱点：攻击者通过利用非交互式签入绕过了MFA和条件访问策略，这些签入依赖于存储的凭据而非用户驱动的身份验证。

“与传统的密码喷雾攻击不同，这种技术避免了触发安全警报，使对手能够在即便是高度安全的环境中也能不被侦测地操作。” Guccione表示。 “对于高度依赖Microsoft 365的组织而言，这次攻击是一个警醒。稳健的网络安全不仅仅是拥有MFA，还要确保每一个身份验证路径的安全。随著Microsoft在2025年逐步淘汰基本认证，组织必须立即采取行动，在攻击者进一步扩大其操作之前填补这些漏洞。”

Sectigo的高级研究员Jason Soroko解释道，非交互式登录在Microsoft365中广泛存在，主要来源于服务帐户、自动化任务和API集成。他指出，这些登录通常占据了整体身份验证事件的一个重要部分，因为背景过程通常在没有直接用户输入的情况下访问资源。

“MFA是为交互式用户身份验证设计的，通常不适用于非交互式登录。” Soroko指出。“因此，这些自动登录应该使用其他安全机制，如证书或非共享的管理身份。组织应更好地使用条件访问策略、严格的凭据管理和持续监控来加强非交互式访问的安全性。”

Soroko还补充道，安全团队可以通过配置使Microsoft365限制非交互式登录。管理员可以通过条件访问策略强制实施更强的身份验证并阻止旧的协议，这些协议促进了这些静默签入。然而，他提醒团队必须谨慎应用这种限制，避免破坏合规的自动化流程。

Black Duck的高级安全工程师BorisCipot表示，最新的机器人网络攻击策略是与以往使用的密码喷雾策略相比的一个重大进化。他提到，密码喷雾攻击通常涉及使用常见的密码，例如“password123”或“nimda”对多个帐户进行攻击。

Cipot指出，这些密码通常来自攻击者在深网上获取的凭据泄漏。为了避免暴力破解保护，攻击者会限制对用户帐户的密码测试，以避免锁定政策。过去，这意味著攻击会持续很长一段时间，使用自动化工具。

“为了避免其他监测系统，攻击通常在工作时间内进行。” Cipot表示。“不过，新的攻击策略使用非交互式签入，这些签入不容易对失败登录等典型安全警报做出反应。非交互式签入包括通过API或自动服务进行的登录。因此，这个新的机器人网络利用了组织在其身份验证监控中的空隙。”