我的位置 威胁预警  >  漏洞公告

MFA疲劳攻击:备受黑客青睐的新策略

来源:网空闲话 时间:2022-09-21 阅读次数:
黑客更频繁地使用社会工程攻击来获取企业凭证并攻陷大型网络。随着多因素身份验证的兴起,这些攻击变得越来越流行的一个组成部分是一种称为MFA疲劳的技术。入侵企业网络时,黑客通常使用被盗的员工登录凭据来访问VPN和内部网络。现实情况是,对于威胁行为者来说,获取公司凭证并不是非常困难,他们可以使用各种方法,包括网络钓鱼攻击、恶意软件、数据泄露导致的凭证泄露,或者在暗网市场上购买。
因此,企业越来越多地采用多因素身份验证来防止用户在没有先输入其他验证形式的情况下登录网络。此附加信息可以是一次性口令、要求您验证登录尝试的提示或硬件安全密钥的使用。
虽然威胁行为者可以使用多种方法绕过多因素身份验证,但大多数都是通过恶意软件或中间人网络钓鱼攻击框架(例如evilginx2)窃取cookie。
然而,一种称为“MFA疲劳”(又名“MFA推送垃圾邮件”)的社会工程技术在威胁行为者中越来越受欢迎,因为它不需要恶意软件或网络钓鱼基础设施,并且已被发现在实际攻击中成功率较高。
什么是MFA疲劳?
当组织的多因素身份验证配置为使用“推送”通知时,当有人尝试使用其凭据登录时,将在员工的移动设备上显示提示。这些MFA推送通知要求用户验证登录尝试,并将显示尝试登录的位置,如下所示。
MFA疲劳攻击是指威胁行为者运行一个脚本,试图一遍又一遍地使用被盗凭据登录,从而导致向帐户所有者的移动设备发送看似无穷无尽的MFA推送请求流。这几乎就成了信息轰炸!
由此引发的攻击手法就是推送网络钓鱼。当恶意行为者窃取用户的主要凭据(如用户名和口令),使用它们登录环境并希望用户出于习惯而简单地批准推送,从而允许威胁行为者通过第二道验证时,可能会发生推送网络钓鱼。最近,出现了更高级的推送网络钓鱼方法,例如MFA网络钓鱼工具包,基于用户的凭据或会话令牌已经被盗的事实,威胁行为者可以操纵最终用户认为他们正在访问合法的应用程序。目标是日夜保持这种状态,以打破目标的网络安全态势,并对这些MFA提示造成“疲劳”感。

在网络安全支持公司Reformed IT创建的这段YouTube视频中可以看到MFA疲劳攻击或MFA垃圾邮件的演示。

在很多情况下,攻击者会反复推送MFA通知,然后通过电子邮件、消息平台或电话联系目标,伪装成IT支持人员以说服用户接受MFA提示。
最终,目标变得不知所措,以至于他们不小心点击了“批准”按钮,或者只是接受了MFA请求,以结束他们在手机上收到的无穷无尽的通知流。
Lapsus$和Yanluowang威胁行为者已证明这种类型的社会工程技术在攻破微软、思科和现在的优步等大型知名组织时非常成功。
因此,如果您是一名成为MFA疲劳/垃圾邮件攻击目标的员工,并且您收到一波又一波的MFA推送通知,请不要惊慌,不要批准MFA请求。
相反,请联系您公司、IT部门或您的主管的已知IT管理员,并说明您认为您的帐户已被盗用并受到攻击。如果可能,您还应该更改您帐户的口令,以防止黑客继续登录并生成进一步的MFA推送通知。
更改口令后,威胁行为者将无法再发送MFA垃圾邮件,从而在调查入侵时为您和您的管理员提供喘息的空间。
专业人士警示
我们不会假装自己是多因素身份验证或身份管理专家,但其他人足够亲切地与BleepingComputer或Twitter分享他们的想法。
安全专家建议禁用MFA推送通知,如果无法做到这一点,请启用号码匹配以提高安全性。
Microsoft的MFA号码匹配(也称为Duo中的验证推送 )是一项向尝试使用其凭据登录的用户显示一系列号码的功能。然后必须将这些号码输入到帐户所有者的移动设备上的身份验证器应用程序中,以验证他们是否正在登录帐户。
由于只有登录帐户的人才能看到这些数字,因此任何试图说服用户将其输入其身份验证应用程序的尝试都应立即被视为可疑,特别是如果该登录尝试来自另一个国家/地区。
Microsoft计划在该功能普遍可用后不久为所有Azure Active Directory租户默认启用它。
另一个建议是限制每个用户 [Microsoft、DUO、Okta]的MFA身份验证请求数,当超过这些阈值时,锁定帐户或向域管理员发出警报。
一些人建议企业转向FIDO硬件安全密钥来保护登录,但其他研究人员和安全专家担心现在要求采用还为时过早,并且可能与某些在线服务不兼容。
如果您的组织能够克服仅需要安全密钥进行登录的复杂性,那么这可能是您可以采取的提高登录安全性的方向。
BleepingComputer收到了来自Microsoft、Okta、Duo和CyberArk的关于减轻这些攻击的建议。
MFA疲劳攻击实质上还是利用了人的弱点,因此对抗疲劳攻击的方法也应回归到人性弱点的管控方向。当前最可行的策略仍然是从用户的MFA验证体验和终端层面的措施来解决。正如CyberArk给出的建议所指,MFA疲劳只是一种特定类型的MFA攻击。随着攻击者不断创新,他们正在寻找针对MFA并规避关键安全控制的新方法。缓解MFA疲劳的一种方法是将组织的MFA设置或配置切换为需要一次性密码(OTP)与推送通知。当面对重复的身份验证消息时,用户往往会变得粗心,并在不知不觉中为攻击者创造机会。虽然OTP需要用户更多的参与,但它可以降低或缓解MFA疲劳。此外,端点权限管理解决方案可以帮助防止可能允许攻击者绕过MFA控制的cookie被盗。在防御策略的大计划中,可以保护客户端凭据的端点权限管理是一个重要的层。
参考资源:
1.https://www.bleepingcomputer.com/news/security/mfa-fatigue-hackers-new-favorite-tactic-in-high-profile-breaches/
2.https://help.duo.com/s/article/7615?language=en_US
 
 

原文来源:网空闲话

“投稿联系方式:孙中豪 010-82992251   sunzhonghao@cert.org.cn”

8条评论