微软叫停短信验证，云泄露凸显MFA风险

微软正在逐步取消个人账户的短信认证方式，同时披露了一场由 Storm-2949 威胁组织发起的多层级网络攻击行动，凸显了短信验证码给组织和个人带来的安全漏洞。

Storm-2949 利用密码重置与社会工程学

微软威胁情报团队于5月18日披露，Storm-2949 针对 Microsoft 365 和 Azure 环境发起攻击，滥用自助密码重置流程。攻击者冒充内部 IT 支持人员联系受害者（包括 IT 人员和高级管理人员），指示他们批准多因素认证提示，声称这是常规密码重置的一部分。

一旦用户批准 MFA 提示，攻击者就会重置密码，移除包括电话号码和 Microsoft Authenticator 在内的现有认证方式，然后将自己的设备注册为新的 MFA 方法。微软威胁情报团队将此次行动描述为“有条不紊、复杂且多层级”，唯一目标是从高价值云环境中尽可能窃取敏感数据。

该组织无需传统恶意软件即可横向移动，而是利用 Azure 原生管理功能，包括 Graph API 查询、Azure RBAC 权限、Key Vault 访问、Run Command 和 VMAccess 扩展，使其行为融入正常管理活动。数据从 Microsoft 365 应用、文件托管服务、Azure 存储账户、SQL 数据库以及托管在 Azure 中的生产 Web 应用中被窃取。

短信认证逐步淘汰

与此同时，微软确认将停止向个人 Microsoft 账户发送短信验证码，改用通行密钥、验证器应用和已验证的电子邮件地址。在一份支持文档中，微软表示“基于短信的认证现已成为欺诈的主要来源”，并称“未来的认证方式是无密码、安全且用户友好的”。

此举遵循了微软、FBI 以及网络安全与基础设施安全局多年来的建议，即由于 SIM 卡交换和钓鱼拦截等漏洞，应减少对短信验证的依赖。Storm-2949 行动正好展示了攻击者如何利用 MFA 弱点——并非直接拦截短信验证码，而是通过社会工程诱骗受害者批准认证提示。

防御建议

微软建议组织为所有特权账户启用抗钓鱼 MFA，遵循最小权限原则限制 Azure RBAC 权限，将 Key Vault 日志保留长达一年，并监控高风险 Azure 管理操作（如配置文件检索和防火墙规则修改）。同时，建议禁用 Azure App Services 的旧式认证方法，限制使用 VM 扩展如 Run Command 和 VMAccess，并在所有资源类型上启用 Microsoft Defender for Cloud 工作负载保护。