HackerNews 编译，转载请注明出处： 一个由超过 130,000 台被攻陷设备组成的庞大僵尸网络正在对全球的 Microsoft 365 (M365) 账户进行密码喷雾攻击，目标是基本身份验证，以绕过多因素身份验证。 根据 SecurityScorecard 的一份报告，攻击者利用信息窃取恶意软件窃取的凭据，大规模针对这些账户。 这些攻击依赖于使用基本身份验证（Basic Auth）的非交互式登录，以绕过多因素身份验证（MFA）保护，在未经授权的情况下访问账户，而不会触发安全警报。 “仅依赖交互式登录监控的组织对这些攻击视而不见。非交互式登录，通常用于服务到服务的身份验证、遗留协议（例如 POP、IMAP、SMTP）和自动化流程，在许多配置中不会触发 MFA，”SecurityScorecard 警告道。 “基本身份验证在某些环境中仍然启用，允许以明文形式传输凭据，使其成为攻击者的首要目标。” 基本身份验证是一种过时的身份验证方法，用户的凭据以明文或 base64 编码形式随每个请求发送到服务器。它缺乏现代安全功能，如 MFA 和基于令牌的身份验证，微软计划在 2025 年 9 月弃用它，转而支持 OAuth 2.0，已经为大多数 Microsoft 365 服务禁用了基本身份验证。 这个新发现的僵尸网络使用基本身份验证尝试，针对大量账户使用常见或泄露的密码。由于基本身份验证是非交互式的，当尝试的凭据匹配时，攻击者不会被提示进行 MFA，并且通常不会受到条件访问策略（CAP）的限制，这使得攻击者可以悄无声息地验证账户凭据。 一旦凭据得到验证，它们可以用于访问不需要 MFA 的遗留服务，或在更复杂的网络钓鱼攻击中绕过安全功能，获得对账户的完全访问权限。 SecurityScorecard 还指出，您可能可以在 Entra ID 日志中看到密码喷雾攻击的迹象，这将显示非交互式登录的登录尝试增加，不同 IP 地址的多次失败登录尝试，以及身份验证日志中存在 “fasthttp” 用户代理。 今年 1 月，SpearTip 警告称，有威胁行为者以类似方式使用 FastHTTP Go 库进行 Microsoft 365 密码攻击，但未提及非交互式登录。目前尚不清楚这是否是僵尸网络的新发展，以规避检测。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Bleeping Computer 网站披露，长达五小时的 Microsoft 365 全球中断是一个路由器 IP 地址变化，致其广域网（WAN）中所有其它路由器之间的数据包转发问题引起。 2023 年 1 月 25日，Microsoft Teams、Outlook、Xbox 和其它 Microsoft365 服务均出现不同程度中断、延迟的现象，主要影响亚洲和欧洲用户，引起业内广泛关注。微软接到客户报告后立刻展开调查，并组织技术专家修复程序，排除故障以使服务恢复在线。 随着事故发展，微软 365 团队在社交媒体上表示其发现一个潜在网络问题，并正在审查遥测技术以确定下一步的故障排除步骤。目前，微软已将服务中断问题与网络配置问题隔离开来，正在分析解决这些问题的最佳缓解策略，力争不会造成额外影响。 微软多个服务受到中断影响 根据 Redmond 的说法，受影响用户可能无法访问有问题的 Microsoft 365 服务。此次中断影响的服务清单主要包括: Microsoft Teams、Exchange Online、Outlook、SharePoint Online、OneDrive for Business、PowerBi、Microsoft 365 Admin Center、Microsoft Graph、Microsoft Intune、Microsoft Defender for Cloud Apps和Microsoft Defender for Identity。 Azure 团队在 Microsoft Azure 服务状态页上强调，技术团队已经确定网络连接问题发生在微软广域网（WAN）设备上，这主要影响到互联网客户与 Azure 之间的连接、ExpressRoute 连接以及数据中心服务之间的连接。 服务器中断问题正在造成一波波影响，大约每 30 分钟达到峰值。此外，一些客户在加载 Microsoft Azure 状态页面时同样会遇到问题，该页面间歇性显示“504网关超时”错误。目前微软内部技术团队正在展开积极调查，一旦有更多消息，会立刻分享给大众。 随着调查深入，Azure 团队发现此次故障背后的根本原因是微软广域网（WAN）的近期更新，目前微软已采取措施回滚这一更新。值得一提的是，微软强调最新遥测显示多个地区和服务都有恢复的迹象，正在继续积极监测，可以确认受影响的服务已经开始慢慢恢复并保持稳定。 Microsoft 365 全球中断由某个路由器 IP 变化引起 经调查分析，微软最后确认长达五小时的 Microsoft 365 全球中断是路由器 IP 地址更改所致，该更改引起了其广域网（WAN）中所有其它路由器之间的数据包转发问题。 Redmond 对事件调查后表示全球性中断是由 WAN 更新导致的 DNS 和 WAN 网络配置问题造成的，许多用户在访问受影响的 Microsoft 365 服务时都遇到了问题。微软透露，服务器中断问题是在使用未经彻底审查的命令更改 WAN 路由器的 IP 地址时引发的，该命令在不同网络设备上具有不同的行为。作为更新 WAN 路由器上 IP 地址的计划更改的一部分，向路由器发出的命令使其向 WAN 中的所有其它由器发送消息，这导致所有路由器重新计算其邻接表和转发表。 在重新计算过程中，路由器无法正确转发通过它们的数据包 当网络从 UTC 08:10 开始自行恢复时，负责维护广域网（WAN）运行状况的自动化系统由于网络受到影响而暂停。这些系统包括识别和消除不健康设备的系统，以及优化网络数据流的流量工程系统。 由于暂停，一些网络路径从 UTC 9 时 35 分开始继续“历经”数据包丢失增加，直到手动重新启动系统，使WAN 恢复到最佳运行状态，并在 UTC 12 时 43 分完成恢复过程。 特别强调的是，从 UTC 上午 7:05 开始调查，到 UTC 下午 12:43 恢复服务，Redmond 仅花费五个多小时就解决了服务中断问题。 服务器中断事件后，微软表示正在阻止执行具有高度影响力的命令，并且还将要求所有命令执行都遵循安全配置更改的指导原则。 转自 Freebuf，原文链接：https://www.freebuf.com/news/355988.html 封面来源于网络，如有侵权请联系删除

近日的一个Microsoft Teams小故障，却使得多个与Teams整合的Microsoft 365服务瘫痪，其中包括了Exchange Online、Windows 365和Office Online。 微软在其官方的微软365状态Twitter账户上向外界透露，他们收到了用户无法访问Microsoft Teams或使用Microsoft Teams功能的报告，导致此次问题的原因是最近关于Microsoft Teams的部署，该问题的关键是在于与内部存储服务的连接中断。 然而，Microsoft Teams并不是唯一受此故障影响的产品，因为用户也开始报告无法连接到各种Microsoft 365服务。微软证实了这些问题，并表示此次故障仅影响到Microsoft 365服务中与Microsoft Teams整合的部分。 “我们已经确定了对与Teams整合的多个Microsoft 365服务的下游影响，如Microsoft Word、Office Online和SharePoint Online。”微软解释说。 微软在Microsoft 365服务健康状态页面上发表了进一步的详细说明，告知受影响的客户可能会遇到以下问题中。 Microsoft Teams（访问、聊天和会议） Exchange Online (延迟发送邮件) 微软365管理中心（无法访问） 多个服务中的Microsoft Word（无法加载） Microsoft Forms (无法通过Teams使用) Microsoft Graph API (任何依赖此API的服务都可能受到影响) Office Online（Microsoft Word访问问题） SharePoint Online (Microsoft Word访问问题) 项目在线（无法访问） PowerPlatform和PowerAutomate（无法创建一个带有数据库的环境） 微软托管桌面内的自动补丁 Yammer (对Yammer实验的影响) Windows 365 (无法配置云电脑) 在将流量重定向到一个健康的服务器以减轻影响后，微软的遥测结果表明，Microsoft Teams的功能开始恢复。微软对外界进行了补充说明，并表示大部分服务已经恢复可用性，仅有少部分服务功能仍需要关注，微软也将继续监测服务，以确保该问题完全修复前，相关服务的状态不会出现波动。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339838.html 封面来源于网络，如有侵权请联系删除