俄羅斯駭客以密碼潑灑攻擊入侵微軟測試帳號

微軟上周揭露，俄羅斯駭客組織Midnight Blizzard透過密碼潑灑（Password Spray）攻擊入侵了微軟一個舊版且未用於生產的測試租戶帳號，繼之利用該帳號的權限存取了多名員工的電子郵件帳號，目前並未有證據顯示駭客可存取客戶或其他微軟環境。

密碼潑灑攻擊指的是駭客利用同一組密碼不斷地測試能否進入不同的帳號，屬於暴力破解攻擊的一種。Midnight Blizzard是在2023年11月以此成功入侵一個微軟測試租戶帳號，再利用該帳號的權限以存取微軟的企業電子郵件帳號。

微軟並未公布有多少電子郵件帳號被存取，僅說比例很低，這些遭到入侵的郵件帳號涉及資安、法務與其它部門的員工與高階主管，駭客汲取了當中許多的郵件與附加檔案。微軟的調查顯示，Midnight Blizzard鎖定的是微軟內部與Midnight Blizzard有關的資訊。

此外，微軟強調相關攻擊並非源自於微軟產品或服務的安全漏洞，且迄今並無任何證據表明駭客得以存取客戶環境、生產環境、原始碼或是AI系統。

此次的經驗令微軟決定變更安全及業務風險之間的平衡線，以因應擁有豐沛資源的國家級駭客，將立即把現有的安全標準部署至微軟自家的老舊系統與內部商業程序，不論這些更改是否會中斷目前的業務流程，並接受此舉可能帶來一定程度的破壞。