微软内网因弱口令“沦陷” ，飞天诚信：看过来看过来~

飞天诚信 2024-02-05 09:30:19  50480

分类专栏：资讯

微软公司在1月19日晚间宣布，黑客组织利用弱密码（口令）侵入公司网络，访问了高管及安全、法务团队成员的电子邮件和文件。微软于已向美国证交会（SEC）提交文件，披露了部分细节：

“从2023年11月下旬开始，威胁行为者通过口令喷洒攻击侵入一个遗留的非生产测试租户帐号，获得了立足点。此后，他们利用该帐号的权限访问了微软公司的少数电子邮件帐号，包括高级领导团队成员及网络安全、法务和其他职能团队员工，并窃取了一些电子邮件及附件。”

据此推测，微软网络内某个账号使用了弱口令，而且没有启用双因素认证。黑客组织通过不断尝试先前已暴露口令或常用口令，最终成功猜中了正确口令。攻击者随后完成账号访问，说明微软没有启用双因素认证，或者这一保护措施被绕过。

1月25日，微软公司就此事又发布了公告，披露了更多细节。据称，被攻破的账号是一个“传统非生产测试租户帐号”，该帐号并未启用多因素身份认证。利用他们最初获取的访问权限，识别并侵入一个拥有对微软公司环境的高级访问权限的遗留测试OAuth应用程序。随后，威胁行为者创建了额外的恶意OAuth应用程序。他们新建了一个用户帐号，允许由他们控制的恶意OAuth应用程序访问微软公司环境。然后，威胁行为者使用遗留测试OAuth应用程序，授予自己Office 365 Exchange Online的‘完整应用程序访问’（full_access_as_app）角色，该角色有权访问邮箱。

微软不是第一个因为弱口令这个“采用多因素身份认证就能避免”的问题而导致网络安全事故的网络安全公司。（又是密码（口令）惹的祸？Okta被黑事件溯源）

飞天诚信是MISA（微软智能安全协会）的会员。该协会由一些与微软合作的安全公司组成，旨在抵御全球日渐复杂的信息安全威胁（飞天诚信正式加入MISA(微软智能安全协会)，成为国内唯一一家入选的企业）。飞天诚信配合微软混合Azure AD推出了指纹生物识别无密码安全认证方案（飞天诚信生物识别安全密钥支持微软混合Azure AD无密码认证）。

飞天诚信曾入围微软安全20/20合作伙伴奖(Microsoft Security 20/20 Partner Awards)并获得身份认证开拓者奖项(Identity Trailblazer)。（飞天诚信喜获微软安全20/20合作伙伴奖之身份认证开拓者奖项）

如果微软对飞天诚信这个来自中国的合作伙伴再重视一些……

网站声明：如果转载，请联系本站管理员。否则一切后果自行承担。

本文链接：https://www.xckfsq.com/news/show.html?id=51281

赞同 1

评论 0 条

微软内网因弱口令“沦陷” ，飞天诚信：看过来看过来~

相关文章

关注我们