美联储警告称, 网络犯罪分子通过绕过多因素认证(MFA), 从而成功的攻击了美国多家机构的云服务.
根据网络安全和基础设施安全局 (CISA) 周三发布的警报, 最近有 "几起成功地入侵云端设施的网络攻击". 根据该机构的说法, 大多数攻击都是利用了网络配置错误等漏洞来进行的攻击.
警报概述:"这种类型的攻击经常在员工使用公司笔记本电脑和个人设备访问云服务时发生, 尽管机构使用了安全工具, 但是被攻击的组织的网络环境通常是非常薄弱的, 使得黑客能够很容易地进行攻击."
例如, 在一个案例中, 一个组织不需要使用虚拟专用网络来让员工远程访问公司网络.
CISA 解释说:"虽然他们的服务器位于公司的防火墙内, 但由于目前远程办公的需要, 为了让员工远程访问它, 他们将服务器的 80 端口对外开放, 这样就很容易使该组织受到网络攻击"
该机构还指出, 网络钓鱼和 "cookie 传递" 攻击是进行云端攻击的主要攻击方式.
网络钓鱼和绕过 MFA
在网络钓鱼攻击方面, 目标通常会收到含有恶意链接的电子邮件. 有的电子邮件会伪装成文件托管服务的警报. 在这两种情况下, 恶意链接都会跳转到一个钓鱼页面, 并要求他们提供账户登录凭证. 网络犯罪分子因此获得了登录云端服务的权限.
根据警报:"CISA 观察到攻击者的登录地在国外 (尽管攻击者可能使用代理或 The Onion Router(Tor) 来伪造他们的位置), 然后, 攻击者会使用组织的帐户, 给用户发送钓鱼邮件进行攻击. 在某些情况下, 这些电子邮件中还含有该组织的文件托管服务的文件链接."
与此同时, 攻击者已经能够利用 "传递 cookie" 攻击来绕过 MFA. 浏览器的 cookie 用于存储用户的认证信息, 这样可以使网站保持用户的登录状态. 在满足 MFA 验证的条件后, 认证信息会被存储在 cookie 中, 因此用户之后就不会再被提示进行 MFA 检查.
因此, 如果攻击者使用了正确的 cookie, 他们就可以在一个浏览器会话中被认证为合法用户, 从而绕过所有的 MFA 检查. 正如 Stealthbits 在最近的一篇文章中所解释的那样, 攻击者需要欺骗用户点击钓鱼邮件等方式来入侵用户的系统, 然后使用一个很简单的命令就可以从机器上提取相应的 cookie.
KnowBe4 的数据驱动防御架构师 Roger Grimes 通过电子邮件表示:"需要注意的是, 如果企业不了解 MFA 的漏洞和黑客绕过认证的方法, 那么企业还不如不使用它, 如果你认为使用 MFA 可以使企业更加安全 (事实并非如此), 那么你的防御措施可能会不堪一击. 但如果你了解 MFA 是如何被攻击的, 并且把这些和 MFA 的用户以及它的系统设计者来分享, 你的云服务就更加安全. 关键是要意识到, 一切都可能会被黑客攻击. MFA 并不是一种特殊的, 神奇的防御措施, 任何黑客都无法攻破. 相反, 围绕 MFA 进行网络安全意识培训是非常重要的, 因为也只有这样, 组织的云服务才会更加安全."
转发规则的利用
CISA 表示, 它还观察到攻击者在入侵成功后, 通过利用电子邮件转发规则来收集敏感信息.
转发规则允许用户将工作邮件发送到他们自己的电子邮件账户中, 这个功能对于远程办公人员来说是一个非常有用的功能.
CISA 表示, 它已经观察到攻击者通过修改用户账户上的电子邮件规则, 从而将电子邮件重定向到攻击者自己控制的账户上.
据该机构称:" 攻击者还修改了现有的规则, 搜索用户的电子邮件信息 (主题和正文), 寻找与金融相关的关键字, 然后将电子邮件转发到攻击者的账户上, 为了防止用户看到警告信息, 攻击者还创建了新的邮箱规则, 将用户收到的某些邮件(特别是带有某些钓鱼相关关键词的邮件) 转发到合法用户的 RSS Feeds 或 RSS 订阅文件夹中.
云安全
在当前社会发展的趋势下, 云端应用在未来一年内会加速发展, 软件即服务, 云托管存储将推动这一趋势的发展. Rebyc 的一项研究发现, 35% 的受访公司表示, 他们计划在 2021 年将 工作内容向云端进行迁移.
相应地, 云端应用和云端环境也越来越受到攻击者的关注. 例如, 在 12 月份, 美国国家安全局发布警告称, 攻击者已经研发出了利用企业内部网络访问漏洞来入侵云端的技术.
该警告写道:"网络攻击者正在利用联合认证环境中的漏洞来访问受保护的数据, 这种攻击一般发生在攻击者获得对受害者内部网络的访问权限之后. 攻击者利用企业内部的访问权限来破坏资源访问权的授予机制, 或者破坏具有云资源管理能力的管理员的凭证."
本文翻译自: https://threatpost.com/cloud-attacks-bypass-mfa-feds/163056/
来源: http://netsecurity.51cto.com/art/202101/641713.htm