一个由超过 130,000 台被攻陷设备组成的庞大僵尸网络正在对全球的 Microsoft 365 (M365) 账户进行密码喷雾攻击,目标是基本身份验证,以绕过多因素身份验证。
根据 SecurityScorecard 的一份报告,攻击者利用信息窃取恶意软件窃取的凭据,大规模针对这些账户。
这些攻击依赖于使用基本身份验证(Basic Auth)的非交互式登录,以绕过多因素身份验证(MFA)保护,在未经授权的情况下访问账户,而不会触发安全警报。
“仅依赖交互式登录监控的组织对这些攻击视而不见。非交互式登录,通常用于服务到服务的身份验证、遗留协议(例如 POP、IMAP、SMTP)和自动化流程,在许多配置中不会触发 MFA,”SecurityScorecard 警告道。
“基本身份验证在某些环境中仍然启用,允许以明文形式传输凭据,使其成为攻击者的首要目标。”
基本身份验证是一种过时的身份验证方法,用户的凭据以明文或 base64 编码形式随每个请求发送到服务器。它缺乏现代安全功能,如 MFA 和基于令牌的身份验证,微软计划在 2025 年 9 月弃用它,转而支持 OAuth 2.0,已经为大多数 Microsoft 365 服务禁用了基本身份验证。
这个新发现的僵尸网络使用基本身份验证尝试,针对大量账户使用常见或泄露的密码。由于基本身份验证是非交互式的,当尝试的凭据匹配时,攻击者不会被提示进行 MFA,并且通常不会受到条件访问策略(CAP)的限制,这使得攻击者可以悄无声息地验证账户凭据。
一旦凭据得到验证,它们可以用于访问不需要 MFA 的遗留服务,或在更复杂的网络钓鱼攻击中绕过安全功能,获得对账户的完全访问权限。
SecurityScorecard 还指出,您可能可以在 Entra ID 日志中看到密码喷雾攻击的迹象,这将显示非交互式登录的登录尝试增加,不同 IP 地址的多次失败登录尝试,以及身份验证日志中存在 “fasthttp” 用户代理。
今年 1 月,SpearTip 警告称,有威胁行为者以类似方式使用 FastHTTP Go 库进行 Microsoft 365 密码攻击,但未提及非交互式登录。目前尚不清楚这是否是僵尸网络的新发展,以规避检测。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容