据SecurityScorecard 2月24日报道，一个由超过13万台被控设备组成的僵尸网络正在对Microsoft 365账户进行大规模密码喷射攻击，利用微软基础身份验证的非交互式登录功能，导致账户被接管、业务中断和横向移动。

这种技术绕过了现代的登录保护，并规避了多因素认证（MFA）的执行，为安全团队制造了一个关键的盲点。

其运作方式如下：攻击者利用信息窃取器日志中窃取的凭证，大规模地系统性瞄准账户。这些攻击记录在非交互式登录日志中，这些日志不会触发相同的警报，并且经常被安全团队忽视。攻击者随后利用这一漏洞，在未被发现的情况下进行大量密码喷射尝试。

研究人员表示，这种战术在全球多个Microsoft 365租户中都有出现，表明这是一个广泛且持续的威胁。SecurityScorecard建议，任何运营Microsoft 365租户的团队应立即核实其是否受到影响，如果是，则更换日志中任何组织账户的凭证。Keeper Security联合创始人兼首席执行官Darren Guccione表示，这次僵尸网络活动暴露了身份验证安全中的一个关键弱点：攻击者通过利用非交互式登录（依赖于存储的凭证而非用户驱动的身份验证）绕过了多因素认证和条件访问策略。

Guccione表示：“与传统密码喷射不同，这种技术避免了触发安全警报，使攻击者即使在防护严密的环境中也能进行未被发现的操作。对于严重依赖Microsoft 365的组织来说，这次攻击是一个警钟。强大的网络安全不仅仅在于拥有多因素认证，而在于保护每一条身份验证路径。随着微软计划在2025年淘汰基础身份验证，组织必须立即采取行动，在这些漏洞被攻击者进一步利用之前加以弥补。”

Sectigo的高级研究员Jason Soroko解释说，在Microsoft 365中，非交互式登录因服务账户、自动化任务和API集成而广泛存在。他表示，它们通常占总体身份验证事件很大一部分，因为后台进程会定期在无直接用户输入的情况下访问资源。

Soroko指出：“多因素认证是为交互式用户身份验证而设计的，通常不适用于非交互式登录。相反，这些自动化登录应该使用替代的安全机制，如证书或其他形式的非共享托管身份。组织应使用条件访问策略、严格的凭证管理和持续监控来更好地保护非交互式访问。”

Soroko补充说，安全团队可以通过配置让Microsoft 365限制非交互式登录。管理员可以通过条件访问策略强制实施更强的身份验证，并阻止促进这些静默登录的旧版协议。然而，Soroko也表示，团队在应用这些限制时必须深思熟虑，以避免干扰合法的自动化进程。

Black Duck的高级安全工程师Boris Cipot表示，与以前使用的密码喷射战术相比，最新的僵尸网络攻击战术是一个重大的进化。Cipot说，密码喷射攻击涉及在多个账户上使用常用密码，例如“password123”或“nimda”。

Cipot表示，这些密码通常是从攻击者从暗网访问的凭证转储中收集的。为了避免暴力破解保护，Cipot说攻击者会限制对用户账户的密码测试，以避免触发锁定策略。在过去，这意味着攻击者会使用自动化工具进行长时间攻击。

Cipot说：“为了避免其他监控系统的发现，攻击会在工作时间进行。然而，新的攻击战术采用了非交互式登录，这类登录不太容易触发典型的安全警报，如登录失败。非交互式登录包括通过API或自动化服务进行的登录。因此，这个新的僵尸网络利用了组织在身份验证监控中的漏洞。”