“对多因素认证(MFA)绕过攻击的担忧日益增加”
Growing concerns about Multi-Factor Authentication (MFA) bypass attacks.
多重身份验证(MFA)使用密码、指纹和智能手机等验证因素来保护系统和数据。安全专家敦促消费者和组织采用MFA,因为在必须窃取多个验证因素时,犯罪黑客更难以未经授权地访问系统。
来自网络安全和标准组织(如网络安全与基础设施安全局(CISA)和国家标准与技术研究所(NIST))的专家敦促人们和组织尽可能使用MFA。
然而,黑客越来越多地通过特制攻击绕过MFA。
今年二月,社交媒体新闻和分享论坛Reddit发现攻击者通过电子邮件钓鱼其员工。该攻击欺骗用户向黑客提供其MFA凭据。
“攻击者使用令人信服的提示将员工引导至一个模仿Reddit内部网关的网站,”身份和访问管理(IAM)公司Simeio的解决方案与咨询总监James Quick说道。
根据Quick的说法,当员工输入其凭据和第二因素令牌时,黑客会捕获并使用这些信息来访问该组织。
MFA绕过攻击正在增加。根据英国25年的托管服务安全提供商Sapphire Cybersecurity的数据,2022年8月发生了40,942起MFA疲劳攻击。
犯罪黑客有许多绕过MFA的技术,例如中间人(MitM)攻击、绕过MFA的钓鱼工具包、窃取浏览器会话cookie、MFA疲劳和恶意OAuth应用。
然而,有方法可以减轻这些攻击。
黑客可以在Wi-Fi热点上使用中间人攻击来绕过MFA。黑客使用伪装的无线接入点和假冒的无线接入点,欺骗用户连接到它。这个计谋使得黑客能够访问用户与互联网之间的通信,并窃取他们的令牌。
根据网络安全和IT服务公司Xact IT Solutions的首席执行官Brian Hornung的说法,当一名出差的员工连接到酒店的Wi-Fi,然后连接到他们的Microsoft账户时,他们可能会看到一个询问是否信任该站点或在设备上保存的消息。“大多数未经培训的用户会点击’是’,因为他们不想每次连接到该网络时都进行手动登录过程,”Hornung解释道。“但是如果黑客能够在Microsoft将令牌传递给他们和用户之间嗅探到Microsoft令牌时窃取它,他们就可以使用它来获得访问权限。”
MFA绕过钓鱼工具包是黑客的一种常见选择。他们使用这些工具包和钓鱼网站来获取用户名、密码和MFA令牌,以登录用户的账户。
根据Hornung的说法,当员工在虚假网站上输入用户名和密码时,黑客会收集这些信息并迅速输入到合法的网站中。当网站将MFA令牌传递给用户时,用户输入它,黑客收集该令牌并迅速输入到实际的网站中。
窃取浏览器会话cookie是绕过MFA的另一种方法。组织使用浏览器会话cookie来捕获用户在网站上的活动。当用户关闭浏览器时,该用户的会话应该结束,并且cookie应该清除。
不幸的是,根据HelpNetSecurity的说法,黑客可以通过从用户的浏览器窃取浏览器会话cookie来绕过MFA,从而未经授权地访问组织的网站和敏感数据。
另一种攻击方式是MFA疲劳,这在新闻报道中被广泛提及。根据BleepingComputer的说法,MFA疲劳或MFA轰炸攻击使用脚本来自动进行重复的登录尝试。系统会向用户发送两步验证(2FA)确认请求,直到他们厌倦并确认他们已登录,但黑客才能获得访问权限。
犯罪黑客还可以滥用开放授权(OAuth 2.0),这是在线授权和同意的事实标准,以绕过MFA。根据HelpNetSecurity的说法,自去年末出现的恶意OAuth攻击中,Microsoft不知情地给予犯罪黑客“经过身份验证的发布者身份”徽章。黑客使用带有欺骗性单点登录(SSO)和会议应用程序的蓝色徽章进行社交工程攻击。当用户点击“接受”时,黑客获得未经授权的访问权限。
尽管攻击日益增多,但仍有希望。根据 Quick 的说法,组织可以通过使用基于时间的多因素认证(MFA)来保护员工和数据免受 MFA 轰炸/疲劳攻击的影响,例如使用 Google Authenticator 或 Microsoft Authenticator。这些基于时间的一次性密码(TOTP)在30秒后过期。Quick 解释说:“这使得攻击者难以快速发送多个 MFA 请求。”
Quick 表示:“挑战-响应 MFA 是另一个选择。它要求用户在提供密码和 MFA 代码之外,回答一个安全问题或提供生物识别标识。”攻击者必须要知道答案或者能够获取生物识别标识才能绕过 MFA。
关于身份验证因素“拥有的东西”,有一些变体,例如物理身份验证密钥。
会计公司 EisnerAmper 的外包 IT 服务团队的董事总经理 Rahul Mahna 表示:“我们发现硬件 MFA,如 YubiKeys 正变得越来越受欢迎。这些密钥可以进行物理 MFA,而不是电子 MFA。”
YubiKeys 和类似产品,如 Google Titan,可以减轻中间人攻击和钓鱼攻击,因为犯罪分子没有物理密钥。
意识是安全团队的一项关键工具。根据 Quick 的说法,组织应该了解有关 MFA 的最新钓鱼和社会工程攻击。“攻击者不断开发新的方法来诱使用户批准 MFA 请求,”他说。通过了解新的 MFA 绕过攻击的工作原理,安全团队可以学习设置事件警报和审查哪些事件日志以识别这些攻击。
组织可以向成熟的安全组织寻求指导。CISA 公布了一个关于实施抗钓鱼 MFA 的2022年10月事实说明,其中详细介绍了 MFA 绕过威胁、网络安全实施和资源。
MFA 绕过攻击针对人的弱点。安全团队应该专注于监控和保护用户和用户访问。
“IT 网络安全团队的目标已经转变为保护个人,尤其是那些拥有对金融系统访问权限的高级管理人员,这对黑客来说可能是一笔巨大的收益,”Mahna 总结道。
David Geer 是一位关注网络安全问题的记者。他来自美国俄亥俄州克利夫兰。