美联储警告称,网络犯罪分子已通过绕过多因素身份验证(MFA)成功攻击了美国多家机构的云服务。根据网络安全和基础设施安全局(CISA)周三发布的警报,最近发生了“数次成功破坏基于云的设施的网络攻击”。据该机构称,大多数攻击都利用了网络配置错误等漏洞。警报概述:“这种类型的攻击通常发生在员工使用公司笔记本电脑和个人设备访问云服务时。尽管组织使用了安全工具,但被攻击组织的网络环境通常非常薄弱,使黑客可以轻松进行攻击”例如,在一种情况下,组织不需要使用VPN来让员工远程访问公司网络。CISA解释说:“虽然他们的服务器位于公司的防火墙内,但由于目前远程办公的需要,为了让员工可以远程访问,他们对外开放了服务器的80端口,这使得组织容易受到网络攻击攻击。”该机构还指出网络钓鱼和“cookie传递”攻击是基于云的攻击的主要攻击媒介。网络钓鱼和绕过MFA在网络钓鱼攻击中,目标通常会收到包含恶意链接的电子邮件。一些电子邮件伪装成来自文件托管服务的警报。在这两种情况下,恶意链接都会指向一个钓鱼页面,要求他们提供帐户登录凭据。网络犯罪分子因此可以访问云服务。根据警报:“CISA观察到攻击者从国外登录(尽管攻击者可能使用代理或洋葱路由器(Tor)来伪造他们的位置),然后使用该组织的帐户向用户发送网络钓鱼电子邮件进行攻击。在某些情况下,这些电子邮件还包含指向该组织文件托管服务中的文件的链接。”同时,攻击者已经能够使用“传递cookie”攻击来绕过MFA。浏览器的cookie用于存储用户的认证信息,以便网站保持用户的登录状态。满足MFA验证条件后,会将验证信息保存在cookie中,以后不会再提示用户进行MFA验证。因此,如果攻击者使用正确的cookie,他们可以在单个浏览器会话中被认证为合法用户,从而绕过所有MFA检查。正如Stealthbits在最近的一篇文章中所解释的那样,攻击者需要诱使用户点击钓鱼邮件等来破坏用户的系统,然后使用简单的命令从机器中提取相应的cookie。KnowBe4的数据驱动防御架构师RogerGrimes通过电子邮件表示:“需要注意的是,如果企业不了解MFA的漏洞以及黑客绕过身份验证的方式,那么企业还不如不使用它.如果你认为使用MFA会让企业更安全(其实不然),那么你的防御可能会很脆弱。但是如果你了解MFA是如何被攻击的,并与MFA的用户和设计者分享这个它的系统,你的云服务更安全。关键是要意识到一切都可以被黑客攻击。MFA不是一种特殊的、神奇的防御,任何黑客都无法攻破。相反,围绕MFA的网络安全意识培训非常重要,因为只有在这个这样,该组织的云服务将更加安全。”转发规则的利用CISA表示,它还观察到攻击者在成功入侵后通过利用电子邮件转发规则收集敏感信息。转发规则允许用户将工作电子邮件发送到他们自己的电子邮件帐户,这对于远程工作者来说是一个非常有用的功能。CISA表示,它观察到攻击者修改了用户帐户的电子邮件规则,以将电子邮件重定向到他们控制的帐户。据该机构称:“攻击者还修改了现有规则,以在用户的??电子邮件消息(主题和文本)中搜索与金融相关的关键字,然后将电子邮件转发到攻击者的帐户,以防止用户看到警告消息,并且攻击者还创建了一个新的邮箱规则,将用户收到的某些邮件(尤其是带有某些钓鱼相关关键字的邮件)转发到合法用户的RSSFeeds或RSS订阅文件夹中。在当前云安全的社会发展趋势下,发展云应用的增长将在明年加速,而软件即服务和云托管存储将推动这一趋势的发展。Rebyc的一项研究发现,35%的受访公司表示他们计划将工作内容迁移到云在2021年。相应地,云应用程序和云环境越来越受到攻击者的关注。例如,在12月,美国国家美国安全局发出警告称,攻击者已开发出利用企业内部网络访问漏洞渗透云的技术。警告内容如下:“网络攻击者正在利用联合身份验证环境中的漏洞访问受保护的数据。或访问内部网络。攻击者利用企业内部的访问权限来破坏资源访问的授权机制,或者破坏具有云资源管理功能的管理员的凭证。》本文翻译自:https://threatpost.com/cloud-attacks-bypass-mfa-feds/163056/
