我靠!8100 万次登录尝试,78 个 Microsoft 账户被攻破?
作者:championsky | 发布时间: | 更新时间:
8100 万次登录尝试,78 个 Microsoft 账户被攻破:密码喷洒攻击正在回潮
最近一条来自安全圈的消息值得所有管理员关注:
据 Huntress 相关人员披露,他们正在观察一场大规模、持续进行的密码喷洒攻击。
在 6 月 12 日至 6 月 26 日期间,攻击者针对 Huntress 客户账户发起了超过 8100 万次登录尝试,并成功入侵了至少 78 个 Microsoft 账户。
如果这个数据属实,这已经不是普通撞库,而是一次非常典型的规模化身份攻击。

什么是密码喷洒?
很多人容易把它和暴力破解混在一起。
暴力破解是:
对一个账号反复尝试大量密码。
密码喷洒是:
用少量常见密码,横向尝试大量账号。
比如:
Password123
Summer2026
Company@123
Welcome2026
P@ssw0rd
它的优势在于:
每个账号尝试次数很少,不容易触发传统锁定策略。
这也是为什么密码喷洒攻击在 Microsoft 365、Entra ID、企业邮箱、VPN、SSO 场景里一直非常有效。
这类攻击真正危险的地方
很多企业以为自己开了 MFA 就安全了。
但现实是:
密码喷洒只是第一步。
攻击者真正想要的是:
找到弱密码账户
找到未启用 MFA 的账户
找到遗留认证入口
找到服务账号
找到管理员误配置
找到条件访问策略空白区
一旦拿到一个 Microsoft 账户,后续就可能进入:
Outlook
OneDrive
SharePoint
Teams
Azure
企业内部应用
SSO 关联服务
也就是说,攻破的不是一个邮箱。
而是一个身份入口。
为什么 Microsoft 账户是高价值目标?
因为在现代企业里,Microsoft 账户已经不只是登录邮箱的账号。
它往往同时连接:
企业邮件
云盘文件
内部协作
身份认证
SaaS 应用
管理后台
云资源权限
一旦身份被拿下,攻击者不一定需要打漏洞。
他可以直接“合法登录”。
这也是近几年攻击趋势的核心变化:
从打系统漏洞,转向打身份系统。
管理员现在应该立刻检查什么?
如果你负责 Microsoft 365 / Entra ID 环境,建议马上检查:
是否所有账号强制 MFA
是否禁用了遗留认证协议
是否开启智能锁定和风险登录检测
是否存在长期不用但仍可登录的账号
是否有共享账号、弱口令账号、测试账号
是否启用了条件访问策略
是否监控异常地区、异常设备、异常失败登录
是否限制管理员账号只能从可信设备登录
是否对高权限账号使用硬件密钥或无密码登录
是否有登录失败激增告警规则
尤其要重点看:
同一 IP 对大量账号尝试登录
大量账号出现少量失败尝试
登录失败地区异常集中
某些账号失败后突然成功
成功登录后立即访问邮箱规则、OAuth 授权或文件下载
这些都是身份攻击链里的高危信号。
这件事给我们的最大提醒
企业安全正在发生明显变化:
过去重点是防漏洞。
现在重点是防身份被滥用。
攻击者越来越喜欢绕过复杂漏洞利用,直接走身份入口:
弱密码
撞库
密码喷洒
MFA 疲劳
钓鱼代理
Session Cookie 窃取
OAuth 应用滥用
因为这条路成本低、成功率高、隐蔽性强。
版主观点
这类事件最值得警惕的不是“8100 万次尝试”这个数字有多大。
真正关键的是:
攻击者正在把身份系统当成企业入口打,而很多企业还在用传统边界安全思路防守。
如果你的防护重点仍然停留在防火墙、杀软、漏洞扫描,而没有把身份安全放到核心位置,那么迟早会被这种攻击打穿。
一句话总结
密码喷洒攻击不是低级攻击。
在云办公和 SSO 普及之后,它已经变成最现实、最廉价、最容易规模化的企业入侵入口之一。
现在该检查的不是“有没有被打”。
而是:
你的身份系统,能不能扛住持续两周、上千万级别的自动化登录尝试。