密码泼洒攻击大增，管理员、CxO账号为主要目标

微软侦测与回应小组（Detection and Response Team，DART）警告，今年骇客利用密码泼洒（password spray）手法来攻击企业的情形大增，也对企业提出防御建议。

微软DART本周公布密码泼洒的研究报告，说明此类攻击的特征及攻击者偏好。密码泼洒是一种利用大量使用者账号名单，和常见密码配对以尽可能猜出大量使用者账号及密码组合。它和暴力破解不太一样，后者是以字典攻击或文字列表破解小量的用户账号。

高明的密码泼洒有2种特质，一是低调、缓慢，最高竿的攻击者会使用不同IP地址同时间，以很少次猜测来攻击多个账号。二是利用重复使用的密码，攻击者从暗网上搜集外泄的用户登入凭证，利用“凭证填充（credential stuffing）”手法来存取受害者重复使用同一组账号密码的不同网站。

微软说明，密码泼洒攻击常使用的user agent string包括BAV2ROPC、 CBAinPROD、CBAinTAR，使用REST API的密码泼洒攻击则以无GUI界面的（headless）浏览器，像Firefox、Chrome来攻击API端点。此外攻击者常使用Python呼叫模组产生网站呼叫，无需使用者动作。

使用不安全或老旧验证协定的App也是此类攻击目标，例如Exchange ActiveSync、IMAP/POP3/SMTP Auth及Exchange Autodiscover，因为它们不强制使用多因素验证（MfA），但最近也有些攻击者锁定使用REST API的应用。

微软也说明特别容易遭密码泼洒攻击的用户类型，供企业在检查时特别注意。其中一类是管理员权限的账号，包括安全管理员、Exchange服务、SharePoint、支付系统及Helpdesk、使用者管理员、验证管理员、公司管理员、全域管理员及条件式存取（conditional access）管理员。其次则是CxO等公司高层账号。

微软建议，若管理员发现网络log中有匿名或可疑IP、陌生国家的连线等现象时，就要留心是否已遭到密码泼洒。