我靠!8100 万次登录尝试,78 个 Microsoft 账户被攻破?

作者:championsky | 发布时间: | 更新时间:

8100 万次登录尝试,78 个 Microsoft 账户被攻破:密码喷洒攻击正在回潮

最近一条来自安全圈的消息值得所有管理员关注:

据 Huntress 相关人员披露,他们正在观察一场大规模、持续进行的密码喷洒攻击。

在 6 月 12 日至 6 月 26 日期间,攻击者针对 Huntress 客户账户发起了超过 8100 万次登录尝试,并成功入侵了至少 78 个 Microsoft 账户

如果这个数据属实,这已经不是普通撞库,而是一次非常典型的规模化身份攻击。

什么是密码喷洒?

很多人容易把它和暴力破解混在一起。

暴力破解是:

对一个账号反复尝试大量密码。

密码喷洒是:

用少量常见密码,横向尝试大量账号。

比如:

Password123
Summer2026
Company@123
Welcome2026
P@ssw0rd

它的优势在于:

每个账号尝试次数很少,不容易触发传统锁定策略。

这也是为什么密码喷洒攻击在 Microsoft 365、Entra ID、企业邮箱、VPN、SSO 场景里一直非常有效。


这类攻击真正危险的地方

很多企业以为自己开了 MFA 就安全了。

但现实是:

密码喷洒只是第一步。

攻击者真正想要的是:

  • 找到弱密码账户

  • 找到未启用 MFA 的账户

  • 找到遗留认证入口

  • 找到服务账号

  • 找到管理员误配置

  • 找到条件访问策略空白区

一旦拿到一个 Microsoft 账户,后续就可能进入:

  • Outlook

  • OneDrive

  • SharePoint

  • Teams

  • Azure

  • 企业内部应用

  • SSO 关联服务

也就是说,攻破的不是一个邮箱。

而是一个身份入口。

为什么 Microsoft 账户是高价值目标?

因为在现代企业里,Microsoft 账户已经不只是登录邮箱的账号。

它往往同时连接:

  • 企业邮件

  • 云盘文件

  • 内部协作

  • 身份认证

  • SaaS 应用

  • 管理后台

  • 云资源权限

一旦身份被拿下,攻击者不一定需要打漏洞。

他可以直接“合法登录”。

这也是近几年攻击趋势的核心变化:

从打系统漏洞,转向打身份系统。

管理员现在应该立刻检查什么?

如果你负责 Microsoft 365 / Entra ID 环境,建议马上检查:

  1. 是否所有账号强制 MFA

  2. 是否禁用了遗留认证协议

  3. 是否开启智能锁定和风险登录检测

  4. 是否存在长期不用但仍可登录的账号

  5. 是否有共享账号、弱口令账号、测试账号

  6. 是否启用了条件访问策略

  7. 是否监控异常地区、异常设备、异常失败登录

  8. 是否限制管理员账号只能从可信设备登录

  9. 是否对高权限账号使用硬件密钥或无密码登录

  10. 是否有登录失败激增告警规则

尤其要重点看:

  • 同一 IP 对大量账号尝试登录

  • 大量账号出现少量失败尝试

  • 登录失败地区异常集中

  • 某些账号失败后突然成功

  • 成功登录后立即访问邮箱规则、OAuth 授权或文件下载

这些都是身份攻击链里的高危信号。

这件事给我们的最大提醒

企业安全正在发生明显变化:

过去重点是防漏洞。

现在重点是防身份被滥用。

攻击者越来越喜欢绕过复杂漏洞利用,直接走身份入口:

弱密码
撞库
密码喷洒
MFA 疲劳
钓鱼代理
Session Cookie 窃取
OAuth 应用滥用

因为这条路成本低、成功率高、隐蔽性强。

版主观点

这类事件最值得警惕的不是“8100 万次尝试”这个数字有多大。

真正关键的是:

攻击者正在把身份系统当成企业入口打,而很多企业还在用传统边界安全思路防守。

如果你的防护重点仍然停留在防火墙、杀软、漏洞扫描,而没有把身份安全放到核心位置,那么迟早会被这种攻击打穿。

一句话总结

密码喷洒攻击不是低级攻击。

在云办公和 SSO 普及之后,它已经变成最现实、最廉价、最容易规模化的企业入侵入口之一。

现在该检查的不是“有没有被打”。

而是:

你的身份系统,能不能扛住持续两周、上千万级别的自动化登录尝试。