微軟表示，從2021年9月開始，已經(jīng)有超過10,000個組織受到網(wǎng)絡(luò)釣魚攻擊，攻擊者會利用獲得的受害者郵箱訪問權(quán)進(jìn)行后續(xù)的商業(yè)電子郵件破壞（BEC）攻擊。攻擊者使用登陸頁面欺騙Office在線認(rèn)證頁面，從而繞過多因素認(rèn)證（MFA），實現(xiàn)劫持Office 365認(rèn)證的目的。

在這些釣魚攻擊中，潛在的受害者會收到一封使用HTML附件的釣魚郵件，當(dāng)目標(biāo)點擊時會被重定向到登陸頁面，而HTML附件確保目標(biāo)通過HTML重定向器發(fā)送。在竊取了目標(biāo)的憑證和他們的會話Cookie后，這些攻擊者會登錄受害者的電子郵件賬戶，并使用受害者的訪問權(quán)限進(jìn)行針對其他組織的商業(yè)電子郵件泄露（BRC）活動。

Microsoft 365 Defender 研究團(tuán)隊和微軟威脅情報中心（MSTIC）針對這一系列的釣魚活動稱：“該網(wǎng)絡(luò)釣魚活動使用中間人（AiTM）釣魚網(wǎng)站竊取密碼，劫持用戶的登錄會話，并跳過認(rèn)證過程，即使用戶已啟用多因素認(rèn)證（MFA）也難以防護(hù)。然后攻擊者會利用竊取的憑證和會話cookies訪問受影響用戶的郵箱，并對其他目標(biāo)進(jìn)行后續(xù)的商業(yè)電子郵件破壞（BEC）活動?！?/p>

在這次大規(guī)模的網(wǎng)絡(luò)釣魚活動可以在幾個開源網(wǎng)絡(luò)釣魚工具包的幫助下實現(xiàn)自動化，包括廣泛使用的Evilginx2、Modlishka和Muraena。 該活動中使用的釣魚網(wǎng)站作為反向代理，托管在網(wǎng)絡(luò)服務(wù)器上，目的是通過兩個獨立的傳輸層安全（TLS）會話將目標(biāo)的認(rèn)證請求代理給他們試圖登錄的合法網(wǎng)站。

利用這種戰(zhàn)術(shù)，攻擊者的釣魚頁面充當(dāng)中間人，攔截認(rèn)證過程，然后從被劫持的HTTP請求中提取包括密碼和更重要的會話Cookies等敏感信息。在攻擊者得到目標(biāo)的會話Cookie后，他們將其注入自己的網(wǎng)絡(luò)瀏覽器，這使得他們可以規(guī)避MFA，實現(xiàn)認(rèn)證過程的跳過。然后在針對其他組織的商業(yè)電子郵件泄露（BRC）活動中使用他們竊取的訪問權(quán)限。

為了防御此類攻擊，微軟仍然建議用戶使用 MFA并支持基于證書的認(rèn)證和Fast ID Online (FIDO) v2.0。微軟還建議用戶監(jiān)測可疑的登錄嘗試和郵箱活動，以及采取有條件的訪問策略，以阻止攻擊者試圖使用來自不合規(guī)設(shè)備或不可信任的IP地址的被盜會話Cookies。

在微軟的相關(guān)報告中指出雖然AiTM網(wǎng)絡(luò)釣魚試圖規(guī)避MFA，但重要的是要強(qiáng)調(diào)MFA的實施仍然是身份安全的一個重要支柱，MFA在阻止各種威脅方面仍然非常有效，其有效性是AiTM網(wǎng)絡(luò)釣魚首先出現(xiàn)的原因。

消息來源：https://www.bleepingcomputer.com/news/security/microsoft-phishing-bypassed-mfa-in-attacks-against-10-000-orgs/