文章总结： 黑客利用AiTM技术和社会工程学，通过零号账户向能源公司发送伪装成SharePoint共享文档的钓鱼邮件，窃取员工凭据与会话Cookie。攻击者设置邮箱规则并冒充受害者抹除痕迹。微软建议需吊销会话Cookie、删除恶意邮箱规则及检查MFA设置，单纯重置密码无效。 综合评分： 73 文章分类： 社会工程学,威胁情报,数据泄露,安全意识

黑客利用微软 SharePoint 漏洞，绕过多因素验证窃取能源公司员工凭据

安世加 安世加

安世加

2026年1月26日 19:01 江苏

新闻

News Today

1 月 25 日消息，据科技媒体 neowin 前天报道，微软 Defender 安全研究人员最近发现一起恶意活动，黑客使用对手中间人攻击（注：AiTM）技术，成功窃取多家能源公司员工的登录凭据。

据报道，黑客首先会使用社会工程学等手段寻找一个员工的肉鸡账户，利用这一“零号账户”获取目标公司内部其他邮箱的访问权限和登录凭证，并成功绕过多因素身份验证。

随后，黑客会使用这一傀儡账户广撒网，向多名用户发送伪装成 SharePoint 共享文档的钓鱼邮件。一旦受害者点开链接就会被重定向至伪造网站，要求用户输入用户名、密码等，进而导致其密码和会话 Cookie 被窃取。

黑客成功入侵多个合法账户后还会设置邮箱规则，自动删除收到的邮件并将所有信箱标记为“已读”，确保受害者这边完全察觉不到异常情况。

最后，这些攻击者还会向受害者通讯录里的联系人发送多达 600 封钓鱼邮件，达成链式传播的目的。

更阴险的是，黑客还会持续监控被入侵的邮箱，删除退信通知和“外出办公”自动回复邮件以抹除痕迹。当收件人心生疑虑并询问状况时，攻击者还会冒充受害者进行回复，声称一切正常，随后再删掉相关对话记录。

微软在一份官方声明中回应此事，并建议受影响的公司吊销所有会话 Cookie、删除攻击者创建的邮箱规则，并检查近期是否有未经授权的多因素认证设置更改。公司强调，重置密码无法在这种场景下解决问题。

本公众号发布的文章均转载自互联网或经作者投稿授权的原创，文末已注明出处，其内容和图片版权归原网站或作者本人所有，并不代表安世加的观点，若有无意侵权或转载不当之处请联系我们处理！

文章转自：IT之家

安世加为出海企业提供SOC 2、ISO27001、PCI DSS、TrustE认证咨询服务（点击图片可详细查看）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安世加 安世加 安世加《黑客利用微软 SharePoint 漏洞，绕过多因素验证窃取能源公司员工凭据》