多因素身份验证(MFA)是防止帐户接管的最有效核心防御措施之一。除了要求用户名和密码外,MFA还要求用户使用额外的身份验证因素:指纹、物理安全密钥或一次性密码;否则,他们无法登录该帐户。本文中的任何内容都不应被解读为MFA不重要。也就是说,某些形式的MFA比其他形式更强大。然而,最近的安全事件表明,弱MFA对于一些黑客来说是小菜一碟,很容易被绕过。Lapsus$数据勒索团伙等脚本小子团体和SolarWinds软件供应链安全事件背后的黑客团体CozyBear等俄罗斯精英黑客国家队在过去几个月中成功击败了MFA保护措施。MFA消息传递最强大的MFA形式基于称为FIDO2的框架,该框架由主要公司组成的联盟开发,旨在平衡安全性和易用性。有了这个框架,用户可以选择使用设备内置的指纹读取器或摄像头,或者专用的安全密钥,来确认他们是否有权访问帐户。基于FIDO2的MFA形式相对较新,因此普通消费者和大型企业使用的许多服务尚未采用它们。这些服务使用较旧、功能较弱的MFA形式。其中包括通过短信发送的一次性密码或由GoogleAuthenticator等移动应用生成的密码,或发送到移动设备的推送消息。登录时,除了输入有效密码外,用户还必须在登录界面输入一次性密码,或按手机屏幕显示的按钮。最近的报告显示,攻击者绕过的正是最后一种身份验证形式。安全公司Mandiant表示,这项技术正被CozyBear使用,这是一个由俄罗斯外国情报机构运营的精英黑客组织,也被称为Nobelium、APT29和Dukes。“许多MFA提供商允许用户接受来自移动应用程序的推送通知或接听电话,然后按下按钮作为第二个身份验证因素,”Mandiant研究人员写道。Nobelium黑客通过发送多个MFA请求来利用这一点,直到用户接受身份验证并最终获得对其帐户的访问权限。”Lapsus$是最近几个月攻击Microsoft、Okta和Nvidia的同一个黑客组织,也使用了该技术。一个Lapsus$成员在该团伙的官方Telegram频道上写道:“通话次数没有限制。当员工想睡觉时,在凌晨1点给他打电话100次,他很可能会接听。回答后,您可以访问MFA注册门户以注册另一台设备。Lapsus$成员声称MFA消息轰炸技术可以攻破微软的防御。本周早些时候,微软表示一名员工的笔记本电脑被Lapsus$黑客组织登录。“即使是微软也无法阻止它,”该人士写道。活我们!我们能够从德国和美国登录到Microsoft员工的VPN,而他们甚至都没有注意到。我们还能够两次重新注册MFA。“MikeGrover为安全专业人士提供红队黑客工具,同时也是一名红队顾问。推特账号是_MG_。他向媒体透露,这种MFA绕过技术“从根本上有多种形式。一种方法:诱使用户接受MFA请求。“MFA轰炸”很快成为一个形容词,但这个词忽略了更阴险的方法。这些方法包括:发送大量的MFA请求,希望目标用户被激怒并最终接受。每天发送一两条MFA消息。这种方式通常不太引人注意,但“还是可以诱导目标用户接受MFA请求”。给目标用户打电话,假装是公司的一员,告诉目标用户,根据公司的流程,需要发送MFA请求。格罗弗说:“这些只是例子,你要知道密集轰炸并不是唯一的形式。他在推特上写道:“多年来,红队一直在这样做,尝试了各种战术。幸运地拥有红队的公司可以从中受益。但现实世界中的攻击者改进这种攻击方法的速度快于大多数公司防御措施的改进速度。其他研究人员很快指出,MFA消息轰炸技术并不是什么新鲜事。红队专家GregLinares发推文说:“Lapsus$没有发明‘MFA消息炸弹’。停止给他们贴上‘MFA消息炸弹制造者’的标签。在现实世界中,这种攻击方法在Lapsus$成名前2年就已经使用了。干得好!FIDO如前所述,基于FIDO2形式的MFA不易受到MFA消息轰炸的影响,因为这种形式的MFA绑定到用户登录站点的物理机器。换句话说,身份验证过程必须登录在设备上。在一台设备上进行身份验证不会授予对另一台设备的访问权限。但这并不意味着使用符合FIDO2的MFA可以免受消息轰炸。总是有用户使用这种形式的MFA,一定比例的人会失去他们的钥匙、手机掉进马桶或搞砸笔记本电脑的指纹识别器。企业必须制定应急计划来应对这些不可避免的事件。如果员工丢失钥匙或设备,许多企业将转而依赖他更脆弱的MFA形式。在其他情况下,黑客可以诱骗IT管理员重置MFA并注册新设备。在某些情况下,符合FIDO2的MFA只是一种选择,用户仍然可以选择其他不太安全的身份验证形式。“攻击者很容易利用重置/备份机制,”Grover说。有时,使用符合FIDO2的MFA的公司依赖第三方来管理他们的网络或执行其他基本功能。如果第三方员工可以使用不太强大的MFA形式访问公司的网络,那么强大的MFA为公司带来的好处就几乎被破坏了。即使公司完全采用基于FIDO2的MFA,Nobelium也能够突破这种保护。然而,他们的MFA绕过方法只有在完全关闭目标的ActiveDirectory后才有用。ActiveDirectory是一种具有高保护强度的数据库工具。网络管理员经常使用它来创建、删除和修改用户帐户,并为帐户分配对授权资源的访问权限。这种绕过方法不在本文讨论范围之内,因为一旦ActiveDirectory被黑,几乎无法挽救。同样,任何形式的MFA都比没有MFA好。即使通过短信发送一次性密码是唯一可用的MFA措施,再多的错误和麻烦也比根本没有MFA安全得多。本文中没有任何内容表明MFA不值得拥有。但显然,仅靠MFA是不够的,没有任何企业可以仅靠MFA来构建完整的防线。考虑到CozyBear的无限资源和最先进的技术,黑客组织能够找到漏洞也就不足为奇了。随着青少年能够使用相同的技术攻击Nvidia、Okta和Microsoft等大公司,人们终于开始意识到正确使用MFA的重要性。知名网络安全记者布赖恩·克雷布斯(BrianKrebs)在他的KrebsOnSecurity上写道:“虽然人们可能将LAPSUS$视为一个不成熟的追名逐利的黑客团伙,但每个企业安全负责人都应该注意它的战术。”MFA消息轰炸可能不是那个新的,但它不再是企业可以忽略的安全问题。
