注意,谷歌MFA驗證攔不住這類網(wǎng)絡(luò)釣魚攻擊
眾所周知,網(wǎng)絡(luò)釣魚攻擊最有效的防護措施是,在電子郵件賬戶上部署多因素身份驗證 (MFA)。
即便攻擊者可以利用釣魚網(wǎng)站獲取登錄賬戶和密碼,如果有部署MFA,那么在登錄賬戶時仍需要進行驗證。正因為如此,MFA被視為防范網(wǎng)絡(luò)釣魚的有效方法,被企業(yè)廣泛部署。
但是,安全研究人員發(fā)現(xiàn),一種新型的網(wǎng)絡(luò)釣魚攻擊卻可以繞過MFA,企業(yè)用戶需密切注意。其具體的攻擊方法是,攻擊者利用VNC屏幕共享系,讓目標用戶直接在攻擊者控制的服務(wù)器上登錄其帳戶,因此可繞過MFA。
VNC成繞過MFA的關(guān)鍵
在為某公司進行滲透測試時,安全研究員mr.d0x試圖對員工發(fā)起釣魚攻擊,以便獲取登錄系統(tǒng)的賬戶密碼。但由于公司部署了MFA,常規(guī)的釣魚攻擊都被阻斷了。
mr.d0x表示,這是谷歌在2019年增加的一項新的安全功能,可阻止常用的“反向代理或中間人 (MiTM) 攻擊”,一旦檢測到此類攻擊后,MFA會發(fā)出相應(yīng)的告警,并暫時停用該郵件賬戶。
對此,mr.d0x琢磨出一種新型的網(wǎng)絡(luò)釣魚攻擊技術(shù),他利用noVNC 遠程訪問軟件和以 kiosk 模式運行的瀏覽器,來顯示在攻擊者服務(wù)器上運行,但在受害者瀏覽器中顯示的電子郵件登錄提示,順利繞過了MFA。
VNC 是一個遠程訪問軟件,允許遠程用戶連接并控制已登錄用戶的桌面。大多數(shù)人通過專用VNC客戶端連接到VNC服務(wù)器,這些客戶端以類似于 Windows 遠程桌面的方式運行。但是,noVNC程序卻允許用戶通過單擊鏈接直接從瀏覽器內(nèi)連接到VNC服務(wù)器,這就給了攻擊者繞過MFA的可能性。
mr.d0x表示,當用戶點擊了攻擊者發(fā)來的鏈接后,他們不會意識到自己已經(jīng)訪問了VNC服務(wù)器,而且由于之前將Firefox設(shè)置為kiosk模式,所以用戶看到的只是一個網(wǎng)頁。
通過這樣的方式,攻擊者可以發(fā)送針對性的魚叉式網(wǎng)絡(luò)釣魚電子郵件,其中包含自動啟動目標瀏覽器并登錄到攻擊者遠程VNC服務(wù)器的鏈接。
這些鏈接全部都是針對性定制,因此看起來往往不像可疑的VNC登錄URL的鏈接,如下所示:
Example[.]com/index.html?id=VNCPASSWORD
Example[.]com/auth/login?name=password
由于攻擊者的VNC服務(wù)器以kiosk模式運行瀏覽器,即以全屏模式運行瀏覽器,因此當目標用戶點擊鏈接時,他們只會看到目標電子郵件服務(wù)的登錄頁面并正常登錄。這意味著,用戶所有的登錄嘗試將直接發(fā)生在遠程服務(wù)器上。
而一旦用戶登錄了該賬戶,攻擊者可在用戶不知情的情況下,利用各種工具竊取賬號密碼和安全令牌。因此這種攻擊技術(shù)可以繞過MFA,用戶將會在攻擊者的服務(wù)器上輸入驗證密碼,授權(quán)設(shè)備進行下一次的登錄。
結(jié)語
如果此類攻擊僅針對少數(shù)人使用,那么攻擊者只需通過VNC會話登錄他們的電子郵件帳戶,就可以授權(quán)設(shè)備在未來順利登錄該帳戶。
由于VNC允許多人監(jiān)控同一個會話,那么攻擊者可以在帳戶登錄后斷開和目標用戶的會話,并在稍后連接到同一會話以訪問該帳戶及其所有電子郵件。
雖然這種攻擊方式尚未出現(xiàn),但是mr.d0x卻表現(xiàn)出憂慮,他認為未來類似的攻擊方式很有可能會出現(xiàn)。因此企業(yè)和用戶應(yīng)提前做好相應(yīng)的應(yīng)對措施,提高自己的警惕性,避免陷入郵件釣魚攻擊的陷進之中。
mr.d0x表示,不論釣魚郵件的攻擊方式如何變化,最有效的防護建議萬變不離其宗:不要點擊陌生郵件里的鏈接,不要下載陌生郵件里的文件,對于一切陌生的電子郵件保持懷疑的態(tài)度。
參考來源:
https://www.bleepingcomputer.com/news/security/devious-phishing-method-bypasses-mfa-using-remote-access-software/