引言:

在最近的網路攻擊中，微軟測試租戶的舊帳戶成為俄羅斯 APT（高級持續性威脅）組織複雜駭客攻擊行動的受害者。 這次漏洞由臭名昭著的俄羅斯國家組織午夜暴雪或 APT29 發起，暴露了一個嚴重的安全漏洞：受感染的帳戶沒有啟用多重身份驗證（MFA）。 這事件有力地提醒我們，MFA 在保護敏感資訊和抵禦複雜網路威脅方面的重要性。

是次網絡攻擊：

Midnight Blizzard 是一個隸屬於俄羅斯國家的威脅組織，它在未經授權的情況下存取了少量微軟企業電子郵件帳戶，其中包括高階主管的帳戶。 第一次攻擊發生在 2023 年 11 月，攻擊者利用加密垃圾郵件技術入侵了一個舊的測試租戶帳戶。 隨著時間的推移，攻擊者的授權不斷升級，導致微軟在 2024 年 1 月 12 日發現了攻擊。

多因素認證的作用：

微軟揭露的資訊強調，被入侵的舊帳戶缺乏多重身份驗證（MFA）保護，即要求用戶提供多種形式的身份驗證，包括密碼和發送到行動裝置的唯一時間敏感代碼、 這就增加了一層 額外的安全保護：如果不啟用多重身份驗證，被入侵的帳戶就很容易受到未經授權的訪問，從而使威脅者能夠長時間訪問敏感信息，並有可能危及整個企業環境。

加強安全措施

雖然沒有透露 MFA 未應用於舊測試租戶帳戶的具體原因，但微軟承認，目前的政策和工作流程允許為類似租戶應用 MFA 並主動提供保護。 該聲明強調，微軟承諾不斷改進其安全措施，並實施強制保障措施，以確保未來不再發生此類攻擊。 聲明也呼籲各組織採取措施，確保在其帳戶和系統中優先使用 MFA。

是次攻擊的深入分析：

除了揭露 MFA 的缺失，微軟的部落格文章也對 Midnight Blizzard 採用的攻擊策略提供了有價值的見解。 威脅行為者利用加密爆破技術，這是一種旨在逃避偵測和避免帳戶封堵的低容量技術。 此外，他們還利用分散的住宅代理基礎設施來進一步隱藏其活動。 此外，Midnight Blizzard 還利用傳統的測試 OAuth 應用程式對微軟企業環境中的郵箱進行高存取權和入侵。

防禦類似攻擊

針對此次漏洞，微軟提供了類似攻擊的防禦措施。 指南建議仔細檢查使用者和服務實體身份，仔細檢查與未知身份相關的權限，並監控應用程式專用權限。 此外，微軟建議檢查 Exchange Online 中具有 Application Impersonation 權限的身份，並使用異常檢測策略來識別惡意 OAuth 應用程式。 企業也應檢查並刪除不必要的權限，例如 EWS.AccessAsUser.All Microsoft Graph API 角色。

結論：

俄羅斯 APT 組織 Midnight Blizzard 入侵微軟測試租戶帳戶的事件凸顯了多因素身份驗證在現代網路安全實踐中的重要性。 此事件應警醒全球的組織機構採取包括多因素身份驗證在內的強有力的安全措施，以保護敏感資訊並降低複雜的威脅行為者帶來的風險。 透過採用多層次的安全方法，企業可以加強防禦，大幅降低遭受類似網路攻擊的幾率。

#多重身份驗證#網路安全#資料外洩#威脅行為者#午夜風暴#APT29 #安全最佳實踐#網路防禦 #OAuth安全#網路攻擊預防#安全認證#資料保護#網路威脅#IT安全#數位安全#保持防護#網路安全意識