美聯(lián)儲(chǔ)警告稱，網(wǎng)絡(luò)犯罪分子通過(guò)繞過(guò)多因素認(rèn)證(MFA)，從而成功的攻擊了美國(guó)多家機(jī)構(gòu)的云服務(wù)。

根據(jù)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)周三發(fā)布的警報(bào)，最近有 "幾起成功地入侵云端設(shè)施的網(wǎng)絡(luò)攻擊 "。根據(jù)該機(jī)構(gòu)的說(shuō)法，大多數(shù)攻擊都是利用了網(wǎng)絡(luò)配置錯(cuò)誤等漏洞來(lái)進(jìn)行的攻擊。

[[376950]]

警報(bào)概述："這種類型的攻擊經(jīng)常在員工使用公司筆記本電腦和個(gè)人設(shè)備訪問(wèn)云服務(wù)時(shí)發(fā)生，盡管機(jī)構(gòu)使用了安全工具，但是被攻擊的組織的網(wǎng)絡(luò)環(huán)境通常是非常薄弱的，使得黑客能夠很容易地進(jìn)行攻擊。"

例如，在一個(gè)案例中，一個(gè)組織不需要使用虛擬專用網(wǎng)絡(luò)來(lái)讓員工遠(yuǎn)程訪問(wèn)公司網(wǎng)絡(luò)。

CISA解釋說(shuō)："雖然他們的服務(wù)器位于公司的防火墻內(nèi)，但由于目前遠(yuǎn)程辦公的需要，為了讓員工遠(yuǎn)程訪問(wèn)它，他們將服務(wù)器的80端口對(duì)外開(kāi)放， 這樣就很容易使該組織受到網(wǎng)絡(luò)攻擊"

該機(jī)構(gòu)還指出，網(wǎng)絡(luò)釣魚(yú)和 "cookie傳遞 "攻擊是進(jìn)行云端攻擊的主要攻擊方式。

網(wǎng)絡(luò)釣魚(yú)和繞過(guò)MFA

在網(wǎng)絡(luò)釣魚(yú)攻擊方面，目標(biāo)通常會(huì)收到含有惡意鏈接的電子郵件。有的電子郵件會(huì)偽裝成文件托管服務(wù)的警報(bào)。在這兩種情況下，惡意鏈接都會(huì)跳轉(zhuǎn)到一個(gè)釣魚(yú)頁(yè)面，并要求他們提供賬戶登錄憑證。網(wǎng)絡(luò)犯罪分子因此獲得了登錄云端服務(wù)的權(quán)限。

根據(jù)警報(bào)："CISA觀察到攻擊者的登錄地在國(guó)外(盡管攻擊者可能使用代理或The Onion Router(Tor)來(lái)偽造他們的位置)，然后，攻擊者會(huì)使用組織的帳戶，給用戶發(fā)送釣魚(yú)郵件進(jìn)行攻擊。在某些情況下，這些電子郵件中還含有該組織的文件托管服務(wù)的文件鏈接。"

與此同時(shí)，攻擊者已經(jīng)能夠利用 "傳遞cookie "攻擊來(lái)繞過(guò)MFA。瀏覽器的cookie用于存儲(chǔ)用戶的認(rèn)證信息，這樣可以使網(wǎng)站保持用戶的登錄狀態(tài)。在滿足MFA驗(yàn)證的條件后，認(rèn)證信息會(huì)被存儲(chǔ)在cookie中，因此用戶之后就不會(huì)再被提示進(jìn)行MFA檢查。

因此，如果攻擊者使用了正確的cookie，他們就可以在一個(gè)瀏覽器會(huì)話中被認(rèn)證為合法用戶，從而繞過(guò)所有的MFA檢查。正如Stealthbits在最近的一篇文章中所解釋的那樣，攻擊者需要欺騙用戶點(diǎn)擊釣魚(yú)郵件等方式來(lái)入侵用戶的系統(tǒng)，然后使用一個(gè)很簡(jiǎn)單的命令就可以從機(jī)器上提取相應(yīng)的cookie。

KnowBe4的數(shù)據(jù)驅(qū)動(dòng)防御架構(gòu)師Roger Grimes通過(guò)電子郵件表示："需要注意的是，如果企業(yè)不了解MFA的漏洞和黑客繞過(guò)認(rèn)證的方法，那么企業(yè)還不如不使用它，如果你認(rèn)為使用MFA可以使企業(yè)更加安全 (事實(shí)并非如此)，那么你的防御措施可能會(huì)不堪一擊。但如果你了解MFA是如何被攻擊的，并且把這些和MFA的用戶以及它的系統(tǒng)設(shè)計(jì)者來(lái)分享，你的云服務(wù)就更加安全。關(guān)鍵是要意識(shí)到，一切都可能會(huì)被黑客攻擊。MFA并不是一種特殊的、神奇的防御措施，任何黑客都無(wú)法攻破。相反，圍繞MFA進(jìn)行網(wǎng)絡(luò)安全意識(shí)培訓(xùn)是非常重要的，因?yàn)橐仓挥羞@樣，組織的云服務(wù)才會(huì)更加安全。"

轉(zhuǎn)發(fā)規(guī)則的利用

CISA表示，它還觀察到攻擊者在入侵成功后，通過(guò)利用電子郵件轉(zhuǎn)發(fā)規(guī)則來(lái)收集敏感信息。

轉(zhuǎn)發(fā)規(guī)則允許用戶將工作郵件發(fā)送到他們自己的電子郵件賬戶中，這個(gè)功能對(duì)于遠(yuǎn)程辦公人員來(lái)說(shuō)是一個(gè)非常有用的功能。

CISA表示，它已經(jīng)觀察到攻擊者通過(guò)修改用戶賬戶上的電子郵件規(guī)則，從而將電子郵件重定向到攻擊者自己控制的賬戶上。

據(jù)該機(jī)構(gòu)稱："攻擊者還修改了現(xiàn)有的規(guī)則，搜索用戶的電子郵件信息(主題和正文)，尋找與金融相關(guān)的關(guān)鍵字，然后將電子郵件轉(zhuǎn)發(fā)到攻擊者的賬戶上，為了防止用戶看到警告信息，攻擊者還創(chuàng)建了新的郵箱規(guī)則，將用戶收到的某些郵件(特別是帶有某些釣魚(yú)相關(guān)關(guān)鍵詞的郵件)轉(zhuǎn)發(fā)到合法用戶的RSS Feeds或RSS訂閱文件夾中。

云安全

在當(dāng)前社會(huì)發(fā)展的趨勢(shì)下，云端應(yīng)用在未來(lái)一年內(nèi)會(huì)加速發(fā)展，軟件即服務(wù)、云托管存儲(chǔ)將推動(dòng)這一趨勢(shì)的發(fā)展。Rebyc的一項(xiàng)研究發(fā)現(xiàn)，35%的受訪公司表示，他們計(jì)劃在2021年將 工作內(nèi)容向云端進(jìn)行遷移。

相應(yīng)地，云端應(yīng)用和云端環(huán)境也越來(lái)越受到攻擊者的關(guān)注。例如，在12月份，美國(guó)國(guó)家安全局發(fā)布警告稱，攻擊者已經(jīng)研發(fā)出了利用企業(yè)內(nèi)部網(wǎng)絡(luò)訪問(wèn)漏洞來(lái)入侵云端的技術(shù)。

該警告寫(xiě)道："網(wǎng)絡(luò)攻擊者正在利用聯(lián)合認(rèn)證環(huán)境中的漏洞來(lái)訪問(wèn)受保護(hù)的數(shù)據(jù)，這種攻擊一般發(fā)生在攻擊者獲得對(duì)受害者內(nèi)部網(wǎng)絡(luò)的訪問(wèn)權(quán)限之后。攻擊者利用企業(yè)內(nèi)部的訪問(wèn)權(quán)限來(lái)破壞資源訪問(wèn)權(quán)的授予機(jī)制，或者破壞具有云資源管理能力的管理員的憑證。"

本文翻譯自：https://threatpost.com/cloud-attacks-bypass-mfa-feds/163056/