
Azure CLI 密码喷洒攻击在 8100 万次以上尝试中入侵至少 78 个 Microsoft 帐号
研究人员警告,一场针对 Microsoft Azure CLI 的大规模自动化 password spray attack 正在进行,攻击者通过 8100 万次以上登入尝试,入侵了至少 78 个 Microsoft 帐号,并利用已弃用的 ROPC 绕过部分 Conditional Access Policy。
网络安全研究人员已警告,一场“massive, ongoing, automated password spray attack”正在针对 Microsoft 的 Azure command-line interface (CLI),并在过程中成功入侵了数十个帐号。
根据 Huntress 的说法,这项活动源自一个由 internet infrastructure provider LSHIY LLC (AS32167) 控制的 IPv6 address range (2a0a:d683::/32)。
“在 6 月 12 日到 6 月 26 日之间,背后的 threat actor 进行了超过 8100 万次 login attempts,并成功入侵了跨 64 个组织的至少 78 个 Microsoft accounts,”公司在一份声明中说。“这些攻击的 targeting 看起来完全是基于 compromised password combo lists 中 password prevalence,而不是特定于业务类型或行业。”
这场 password spray attack 引人注目的地方,不只是规模,还有一个事实:许多被入侵的组织都启用了 Conditional Access policies。具体来说,这个 campaign 被发现利用了一种已弃用的 OAuth flow,叫做 Resource Owner Password Credentials (ROPC),来绕过 Conditional Access Policy (CAP) protections。
ROPC 是一种 legacy OAuth 2.0 grant type,用户直接把自己的 username 和 password 提供给 client application,然后该应用把这些 credentials 发送到 authorization server,以换取 access token。它已在 OAuth 2.1 中被弃用。
在其 documentation 中,Microsoft 建议客户不要使用 ROPC flow,理由是它与 multi-factor authentication (MFA) 不兼容。
“在大多数情境下,都有更安全的替代方案可用并且被推荐,”这家科技巨头说。“这个 flow 要求 application 获得非常高程度的信任,而且带来的风险是其他 flows 不存在的。你应该只在更安全的 flows 不可行时才使用这个 flow。”
据称,这些 credential and token spray attacks 在 2026 年 6 月 12 日到 21 日之间,每天造成少数成功登入,平均每天有两到四个 accounts 被入侵;不过 6 月 19 日是例外,当天有 12 个 user accounts(也就是 identities)被入侵。这个稳定节奏在 6 月 22 日发生变化,23 个 businesses 里的 30 个 identities 受到影响。
总计,这次 campaign 造成跨 64 个 organizations 的 78 个 user accounts 被入侵。绝大多数 password spraying 活动都来自 LSHIY LLC。一些 IP addresses 解析到美国,而另外一些则解析到中国。
“Huntress 说,‘这些攻击是跨几个不同 ASNs 的一大波 credential spray attacks 的一部分’,并补充说它观察到其客户群中的 credential spray attacks volume 激增超过 155 倍。“攻击在 5 月底到 6 月初特别激增,目前的 mean value 约为每个受 Huntress 保护的 tenant 每月 1,964 次 failed attacks。”
这些活动似乎专门利用先前已经泄露、但从未轮换的旧 username/password combinations。使用 ROPC vector 代表攻击者能够针对已经实施 MFA 的企业,但前提是 MFA 并未被强制执行,或未针对 Azure CLI ROPC logins 进行配置。
这包括以下 MFA 没有被触发的情境 -
只针对特定 apps 强制执行 MFA,而不是 “All Cloud Apps”,因此没有覆盖 threat actors 使用的 Azure CLI logins
只针对特定 user groups 强制执行 MFA,例如 Admins
只在请求来自 non-trusted locations 时才强制执行 MFA
“Huntress 说,‘值得注意的是,这次 campaign 受影响的八家 businesses 根本没有 MFA policy。’“虽然这次 campaign 中的 threat actors 即使在 MFA 已设好的情况下仍然能够进入,但重点不应该是 MFA 完全没用;相反,organizations 应该确保他们的 MFA policies 配置正确,以应对这些 incidents 中使用的 authorization flow。”
为了 counter 这种攻击方式,建议 organizations 在启用 CAP 时,要求 All Users、All Cloud Apps 和 All Client App types 都必须使用 MFA,限制 non-admin users 使用 Azure CLI application,并根据 credential validity 优先进行 response。
“Huntress researchers 总结说,‘这次 attack 揭示了那些没有被妥善配置的 CAPs 中的裂缝。CAPs 的 deployment 方式仍然存在潜在 weaknesses,可能让 threat actors 溜过去。这里一个明显的错误是,像 ROPC 这样的 legacy protocols 可以完全绕过一些配置不佳的 CAPs,因为它们不会经过 policies 被强制执行的 authorization endpoint。’