黑客找到繞過(guò)多因素認(rèn)證的巧妙方法
責(zé)編:gltian |2020-12-18 16:25:50近日,APT黑客組織通過(guò)“日爆攻擊”(SUNBURST)SolarWinds的網(wǎng)絡(luò)管理軟件,滲透到了包括五角大樓和白宮在內(nèi)的1.8萬(wàn)家企業(yè)和政府機(jī)構(gòu),在網(wǎng)絡(luò)安全業(yè)界掀起軒然大波。
據(jù)網(wǎng)絡(luò)安全公司Volexity報(bào)道,實(shí)施“日爆攻擊”的APT組織已經(jīng)設(shè)計(jì)出一種巧妙的方法,能夠繞過(guò)目標(biāo)網(wǎng)絡(luò)的多因素身份驗(yàn)證系統(tǒng)。
安全公司Volexity的研究人員周一表示,它在2019年末和2020年初遇到了與“日爆攻擊”黑客手法類似的攻擊者,該攻擊者深入某智庫(kù)組織內(nèi)部的次數(shù)不少于3次。
在一次攻擊期間,Volexity研究人員注意到黑客使用了一種新穎的技術(shù)繞過(guò)了Duo提供的多因素身份驗(yàn)證保護(hù)(MFA)。在受感染的網(wǎng)絡(luò)上獲得管理員特權(quán)后,黑客利用這些特權(quán)賬戶從運(yùn)行Outlook Web App(各種網(wǎng)絡(luò)服務(wù)提供帳戶身份驗(yàn)證)的服務(wù)器上竊取了名為akey的Duo機(jī)密信息。
然后,黑客使用akey預(yù)先生成cookie,用來(lái)繞過(guò)目標(biāo)賬戶的MFA驗(yàn)證。Volexity認(rèn)為攻擊者是國(guó)家黑客組織Dark Halo。研究人員Damien Cash、Matthew Meltzer、Sean Koessel、Steven Adair和Thomas Lancaster寫道:
在Volexity調(diào)查Dark Halo參與的第二次攻擊時(shí),觀察到攻擊者通過(guò)OWA訪問(wèn)了用戶的電子郵件賬戶。這是讓人吃驚的,因?yàn)槟繕?biāo)郵箱受MFA保護(hù)。來(lái)自Exchange服務(wù)器的日志顯示,攻擊者提供的用戶名和密碼身份驗(yàn)證正常,但繞過(guò)了Duo的兩步驗(yàn)證。而Duo身份驗(yàn)證服務(wù)器的日志卻并未記錄該用戶的登錄行為。Volexity確認(rèn),該攻擊不涉及會(huì)話劫持,而是通過(guò)OWA服務(wù)器的內(nèi)存轉(zhuǎn)儲(chǔ),攻擊者使用了與Duo MFA會(huì)話(duo-sid)綁定的cookie。
在雙因素認(rèn)證中,密碼驗(yàn)證成功后,服務(wù)器會(huì)評(píng)估duo-sid cookie,并確定其是否有效。Volexity的調(diào)查發(fā)現(xiàn),攻擊者從OWA服務(wù)器訪問(wèn)了Duo集成密鑰(akey)。然后,該密鑰使攻擊者可以在duo-sid cookie中設(shè)置預(yù)先計(jì)算的值。這使攻擊者僅需獲取用戶帳戶和密碼就能完全繞過(guò)帳戶的MFA驗(yàn)證機(jī)制。此事件強(qiáng)調(diào)了確保與密鑰集成關(guān)聯(lián)的所有機(jī)密(例如與MFA提供者的機(jī)密)應(yīng)在發(fā)生泄露后進(jìn)行更改的必要性。此外,重要的是,修改密碼時(shí)不要使用與舊密碼類似的新密碼(例如,把舊密碼Summer2020!改成Spring2020!)。
Volexity對(duì)Dark Halo的攻擊描述表明,與其他安全研究人員的結(jié)論一致,那就是攻擊者展現(xiàn)了極高的技術(shù)水平。
《華盛頓郵報(bào)》和《紐約時(shí)報(bào)》均援引了不具姓名的政府人士的說(shuō)法,稱發(fā)動(dòng)“日爆攻擊”的是APT黑客組織APT29,也被稱為Cozy Bear,是俄羅斯聯(lián)邦安全局(FSB)的一部分。
盡管本案例中的MFA多因素身份驗(yàn)證技術(shù)的提供者是Duo,但其他MFA技術(shù)也完全有可能被繞過(guò)。因?yàn)镸FA威脅建模通常不包括對(duì)OWA服務(wù)器的系統(tǒng)性攻擊。而黑客獲得的訪問(wèn)權(quán)限級(jí)別也足以關(guān)閉幾乎所有防御措施。
DUO發(fā)表的官方聲明中寫道:
思科公司的Duo Security注意到最近有安全研究人員發(fā)表了博客文章,討論了在過(guò)去一年中從特定威脅參與者團(tuán)體中觀察到的多個(gè)安全事件。這些事件之一涉及Duo與Outlook Web Application(OWA)的集成。
事件的根源不是Duo產(chǎn)品中存在任何漏洞。而是攻擊者從現(xiàn)有的受感染客戶環(huán)境(例如電子郵件服務(wù)器)中獲得了對(duì)集成憑據(jù)的特權(quán)訪問(wèn),這些集成憑據(jù)對(duì)于Duo服務(wù)的管理是必不可少的。
為了減少發(fā)生此類事件的可能性,當(dāng)務(wù)之急是保護(hù)集成秘密以防組織內(nèi)暴露,并在懷疑有攻擊的情況下輪換密鑰。與MFA集成的服務(wù)被入侵,也能導(dǎo)致集成秘密的泄露,以及對(duì)MFA保護(hù)的系統(tǒng)和數(shù)據(jù)的非法訪問(wèn)。
Volexity說(shuō),Dark Halo的主要目標(biāo)是獲取智囊團(tuán)內(nèi)部特定個(gè)人的電子郵件。這家安全公司表示,Dark Halo是一個(gè)復(fù)雜的威脅參與者,與任何知名的威脅參與者沒有任何聯(lián)系。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧