美聯(lián)儲警告稱，網(wǎng)絡(luò)犯罪分子通過繞過多因素認證(MFA)，從而成功的攻擊了美國多家機構(gòu)的云服務(wù)。

根據(jù)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)周三發(fā)布的警報，最近有 "幾起成功地入侵云端設(shè)施的網(wǎng)絡(luò)攻擊 "。根據(jù)該機構(gòu)的說法，大多數(shù)攻擊都是利用了網(wǎng)絡(luò)配置錯誤等漏洞來進行的攻擊。

[[376950]]

警報概述："這種類型的攻擊經(jīng)常在員工使用公司筆記本電腦和個人設(shè)備訪問云服務(wù)時發(fā)生，盡管機構(gòu)使用了安全工具，但是被攻擊的組織的網(wǎng)絡(luò)環(huán)境通常是非常薄弱的，使得黑客能夠很容易地進行攻擊。"

例如，在一個案例中，一個組織不需要使用虛擬專用網(wǎng)絡(luò)來讓員工遠程訪問公司網(wǎng)絡(luò)。

CISA解釋說："雖然他們的服務(wù)器位于公司的防火墻內(nèi)，但由于目前遠程辦公的需要，為了讓員工遠程訪問它，他們將服務(wù)器的80端口對外開放， 這樣就很容易使該組織受到網(wǎng)絡(luò)攻擊"

該機構(gòu)還指出，網(wǎng)絡(luò)釣魚和 "cookie傳遞 "攻擊是進行云端攻擊的主要攻擊方式。

網(wǎng)絡(luò)釣魚和繞過MFA

在網(wǎng)絡(luò)釣魚攻擊方面，目標通常會收到含有惡意鏈接的電子郵件。有的電子郵件會偽裝成文件托管服務(wù)的警報。在這兩種情況下，惡意鏈接都會跳轉(zhuǎn)到一個釣魚頁面，并要求他們提供賬戶登錄憑證。網(wǎng)絡(luò)犯罪分子因此獲得了登錄云端服務(wù)的權(quán)限。

根據(jù)警報："CISA觀察到攻擊者的登錄地在國外(盡管攻擊者可能使用代理或The Onion Router(Tor)來偽造他們的位置)，然后，攻擊者會使用組織的帳戶，給用戶發(fā)送釣魚郵件進行攻擊。在某些情況下，這些電子郵件中還含有該組織的文件托管服務(wù)的文件鏈接。"

與此同時，攻擊者已經(jīng)能夠利用 "傳遞cookie "攻擊來繞過MFA。瀏覽器的cookie用于存儲用戶的認證信息，這樣可以使網(wǎng)站保持用戶的登錄狀態(tài)。在滿足MFA驗證的條件后，認證信息會被存儲在cookie中，因此用戶之后就不會再被提示進行MFA檢查。

因此，如果攻擊者使用了正確的cookie，他們就可以在一個瀏覽器會話中被認證為合法用戶，從而繞過所有的MFA檢查。正如Stealthbits在最近的一篇文章中所解釋的那樣，攻擊者需要欺騙用戶點擊釣魚郵件等方式來入侵用戶的系統(tǒng)，然后使用一個很簡單的命令就可以從機器上提取相應(yīng)的cookie。

KnowBe4的數(shù)據(jù)驅(qū)動防御架構(gòu)師Roger Grimes通過電子郵件表示："需要注意的是，如果企業(yè)不了解MFA的漏洞和黑客繞過認證的方法，那么企業(yè)還不如不使用它，如果你認為使用MFA可以使企業(yè)更加安全 (事實并非如此)，那么你的防御措施可能會不堪一擊。但如果你了解MFA是如何被攻擊的，并且把這些和MFA的用戶以及它的系統(tǒng)設(shè)計者來分享，你的云服務(wù)就更加安全。關(guān)鍵是要意識到，一切都可能會被黑客攻擊。MFA并不是一種特殊的、神奇的防御措施，任何黑客都無法攻破。相反，圍繞MFA進行網(wǎng)絡(luò)安全意識培訓(xùn)是非常重要的，因為也只有這樣，組織的云服務(wù)才會更加安全。"

轉(zhuǎn)發(fā)規(guī)則的利用

CISA表示，它還觀察到攻擊者在入侵成功后，通過利用電子郵件轉(zhuǎn)發(fā)規(guī)則來收集敏感信息。

轉(zhuǎn)發(fā)規(guī)則允許用戶將工作郵件發(fā)送到他們自己的電子郵件賬戶中，這個功能對于遠程辦公人員來說是一個非常有用的功能。

CISA表示，它已經(jīng)觀察到攻擊者通過修改用戶賬戶上的電子郵件規(guī)則，從而將電子郵件重定向到攻擊者自己控制的賬戶上。

據(jù)該機構(gòu)稱："攻擊者還修改了現(xiàn)有的規(guī)則，搜索用戶的電子郵件信息(主題和正文)，尋找與金融相關(guān)的關(guān)鍵字，然后將電子郵件轉(zhuǎn)發(fā)到攻擊者的賬戶上，為了防止用戶看到警告信息，攻擊者還創(chuàng)建了新的郵箱規(guī)則，將用戶收到的某些郵件(特別是帶有某些釣魚相關(guān)關(guān)鍵詞的郵件)轉(zhuǎn)發(fā)到合法用戶的RSS Feeds或RSS訂閱文件夾中。

云安全

在當(dāng)前社會發(fā)展的趨勢下，云端應(yīng)用在未來一年內(nèi)會加速發(fā)展，軟件即服務(wù)、云托管存儲將推動這一趨勢的發(fā)展。Rebyc的一項研究發(fā)現(xiàn)，35%的受訪公司表示，他們計劃在2021年將 工作內(nèi)容向云端進行遷移。

相應(yīng)地，云端應(yīng)用和云端環(huán)境也越來越受到攻擊者的關(guān)注。例如，在12月份，美國國家安全局發(fā)布警告稱，攻擊者已經(jīng)研發(fā)出了利用企業(yè)內(nèi)部網(wǎng)絡(luò)訪問漏洞來入侵云端的技術(shù)。

該警告寫道："網(wǎng)絡(luò)攻擊者正在利用聯(lián)合認證環(huán)境中的漏洞來訪問受保護的數(shù)據(jù)，這種攻擊一般發(fā)生在攻擊者獲得對受害者內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限之后。攻擊者利用企業(yè)內(nèi)部的訪問權(quán)限來破壞資源訪問權(quán)的授予機制，或者破壞具有云資源管理能力的管理員的憑證。"

本文翻譯自：https://threatpost.com/cloud-attacks-bypass-mfa-feds/163056/