Huntress 关键字列表
Microsoft 365遭大规模密码喷射攻击,逾78个账户沦陷

Microsoft 365遭大规模密码喷射攻击,逾78个账户沦陷

近期,Microsoft 365用户遭受大规模自动化密码喷洒攻击。安全公司Huntress报告,攻击者在6月12日至26日期间对其客户账户发起8100万次登录尝试,至少78个账户被成功入侵。攻击源自互联网服务商LSHIY LLC控制的IPv6地址段,该服务商已终止相关IP访问权限。攻击者利用OAuth ROPC流程重放凭证,成功绕过多因素认证(MFA)防护,主要原因是部分企业未将MFA策略覆盖至"所有云应用",或仅对特定用户群体启用MFA。