微软上周揭露,俄罗斯骇客组织Midnight Blizzard透过密码泼洒(Password Spray)攻击入侵了微软一个旧版且未用于生产的测试租户帐号,继之利用该帐号的权限存取了多名员工的电子邮件帐号,目前并未有证据显示骇客可存取客户或其它微软环境。
密码泼洒攻击指的是骇客利用同一组密码不断地测试能否进入不同的帐号,属于暴力破解攻击的一种。Midnight Blizzard是在2023年11月以此成功入侵了一个微软测试租户帐号,再利用该帐号的权限以存取微软的企业电子邮件帐号。
微软并未公布有多少电子邮件帐号被存取,仅说比例很低,这些遭到入侵的邮件帐号涉及资安、法务与其它部门的员工与高阶主管,骇客汲取了当中许多的邮件与附加档案。微软的调查显示,Midnight Blizzard锁定的是微软内部与Midnight Blizzard有关的资讯。
此外,微软强调相关攻击并非源自于微软产品或服务的安全漏洞,且迄今并无任何证据表明骇客得以存取客户环境、生产环境、原始码或是AI系统。
此次的经验令微软决定变更安全及业务风险之间的平衡线,以因应拥有丰沛资源的国家级骇客,将立即把现有的安全标准部署至微软自家的老旧系统与内部商业程序,不论这些更改是否会中断目前的业务流程,并接受它可能会带来一定程度的破坏。