多因素身份驗(yàn)證(MFA)是防止賬戶(hù)接管的最有效核心防御措施之一。除了要求提供用戶(hù)名和密碼，MFA還要求用戶(hù)必須使用額外的驗(yàn)證因素：指紋、物理安全密鑰，或者一次性密碼;否則就不能登錄賬戶(hù)。本文中的任何內(nèi)容都不應(yīng)解讀為在說(shuō)MFA不重要。

也就是說(shuō)，某些形式的MFA比其他形式更為強(qiáng)大。而最近發(fā)生的安全事件表明，強(qiáng)度較低的MFA對(duì)一些黑客而言不過(guò)是小菜一碟，很輕松就能繞過(guò)。過(guò)去幾個(gè)月以來(lái)，Lapsus$數(shù)據(jù)勒索團(tuán)伙這樣的腳本小子群體和俄羅斯菁英黑客國(guó)家隊(duì)(比如SolarWinds軟件供應(yīng)鏈安全事件背后的黑客組織Cozy Bear)都成功擊敗了MFA防護(hù)措施。

MFA消息轟炸

最強(qiáng)大的幾種MFA形式基于名為FIDO2的框架，這是由多家主流公司結(jié)成的聯(lián)盟所開(kāi)發(fā)的一個(gè)框架，旨在平衡安全和使用簡(jiǎn)單性。借助這個(gè)框架，用戶(hù)可以選擇使用內(nèi)置于其設(shè)備中的指紋讀取器或攝像頭，或者專(zhuān)用安全密鑰，來(lái)確認(rèn)自己有權(quán)訪問(wèn)某個(gè)賬戶(hù)?；贔IDO2的MFA形式相對(duì)較新，所以普通消費(fèi)者和大型企業(yè)使用的很多服務(wù)都尚未采納此類(lèi)MFA。

這些服務(wù)使用的是不那么強(qiáng)大的老舊MFA形式。其中包括通過(guò)短信發(fā)送或由Google Authenticator等移動(dòng)應(yīng)用生成的一次性密碼，或者發(fā)送到移動(dòng)設(shè)備的推送消息。在登錄時(shí)，除了有效密碼，用戶(hù)還必須在登錄界面輸入一次性密碼，或者按一下手機(jī)屏上顯示的按鈕。

最近的報(bào)道揭示，就是這最后一種身份驗(yàn)證形式會(huì)被攻擊者繞過(guò)。安全公司Mandiant表示，俄羅斯對(duì)外情報(bào)局麾下精英黑客團(tuán)隊(duì)Cozy Bear(亦稱(chēng)Nobelium、APT29和Dukes)就在使用這一技術(shù)。

Mandiant研究人員寫(xiě)道：“很多MFA提供商允許用戶(hù)接受手機(jī)應(yīng)用推送通知或接聽(tīng)電話(huà)，然后按個(gè)按鍵，以此作為第二個(gè)驗(yàn)證因素。Nobelium黑客組織利用這一點(diǎn)，向最終用戶(hù)的合法設(shè)備發(fā)出多個(gè)MFA請(qǐng)求，直到用戶(hù)接受身份驗(yàn)證，最終獲得對(duì)其賬戶(hù)的訪問(wèn)權(quán)限。”

最近幾個(gè)月入侵微軟、Okta Nvidia的黑客團(tuán)伙L(fēng)apsus$也使用了該技術(shù)。

一名Lapsus$成員在該團(tuán)伙的官方Telegram頻道上寫(xiě)道：“撥打次數(shù)毫無(wú)限制。在員工想要睡覺(jué)的凌晨1點(diǎn)給他打100次電話(huà)，他很可能會(huì)接聽(tīng)。一旦接聽(tīng)，你就可以訪問(wèn)MFA注冊(cè)門(mén)戶(hù)，注冊(cè)另一臺(tái)設(shè)備?！?/p>

這位Lapsus$成員聲稱(chēng)，MFA消息轟炸技術(shù)可以攻破微軟的防護(hù)。本周早些時(shí)候，微軟表示一名員工的筆記本電腦遭Lapsus$黑客組織登錄。

這個(gè)人寫(xiě)道：“甚至微軟都攔不住我們!我們能夠同時(shí)從德國(guó)和美國(guó)登錄微軟員工的VPN，他們甚至都沒(méi)注意到。我們還能重新注冊(cè)MFA兩次?！?/p>

Mike Grover為安全專(zhuān)業(yè)人士提供紅隊(duì)黑客工具，同時(shí)也是一名紅隊(duì)顧問(wèn)，Twitter用戶(hù)名為_(kāi)MG_。他向媒體透露，這種MFA繞過(guò)技術(shù)“從根本上說(shuō)是呈現(xiàn)多種形式的一種方法：誘騙用戶(hù)接受MFA請(qǐng)求?！甅FA轟炸’迅速成了個(gè)描述詞，但這個(gè)詞忽略了更為隱蔽的多種方法?！?/p>

這些方法包括：

• 發(fā)送大量MFA請(qǐng)求，寄希望于目標(biāo)用戶(hù)煩不勝煩而最終接受。
• 每天發(fā)送一兩條MFA消息。這種方法通常不怎么引起注意，但“仍然很有可能誘使目標(biāo)用戶(hù)接受MFA請(qǐng)求”。
• 給目標(biāo)用戶(hù)打電話(huà)，裝作是公司一員，告訴目標(biāo)用戶(hù)說(shuō)按公司流程需要發(fā)送一條MFA請(qǐng)求。

Grover稱(chēng)：“這些僅僅是舉個(gè)例子，要知道，密集轟炸可不是唯一的形式?！?/p>

在Twitter帖子中，他寫(xiě)道：“紅隊(duì)早幾年就這么干了，各種玩法都試過(guò)。有幸擁有紅隊(duì)的公司都得益于此。但現(xiàn)實(shí)世界中的攻擊者改進(jìn)這種攻擊方法的速度超過(guò)了大多數(shù)公司的防御措施改善速度?！?/p>

其他研究人員很快指出，MFA消息轟炸技術(shù)不是什么新鮮事物。

紅隊(duì)專(zhuān)業(yè)人士Greg Linares就發(fā)推表示：“Lapsus$可沒(méi)發(fā)明‘MFA消息轟炸’。別再給他們冠上‘MFA消息轟炸創(chuàng)造者’的名號(hào)了?，F(xiàn)實(shí)世界里，這種攻擊方法早在Lapsus$闖出名號(hào)前2年就有人用了?！?/p>

干得漂亮！FIDO

如前文所述，基于FIDO2的MFA形式不容易受到MFA消息轟炸的影響，因?yàn)榇祟?lèi)MFA形式與用戶(hù)登錄站點(diǎn)時(shí)所用的實(shí)體機(jī)器有關(guān)。換句話(huà)說(shuō)，身份驗(yàn)證過(guò)程必須在登錄設(shè)備上進(jìn)行。一臺(tái)設(shè)備上進(jìn)行的身份驗(yàn)證無(wú)法賦予另一臺(tái)設(shè)備訪問(wèn)權(quán)限。

但這并不意味著使用FIDO2合規(guī)的MFA就對(duì)消息轟炸免疫。采用此類(lèi)MFA形式的用戶(hù)中總有一定比例的人會(huì)遺失他們的密鑰，手機(jī)掉馬桶里，或者搞壞自己筆記本電腦的指紋讀取器。

企業(yè)必須有應(yīng)急措施來(lái)處理這些不可避免的事件。如果員工丟失發(fā)送附加驗(yàn)證因素所需的密鑰或設(shè)備，許多企業(yè)會(huì)轉(zhuǎn)而依靠更易受攻擊的MFA形式。其他情況下，黑客可以誘騙IT管理員重置MFA并注冊(cè)新設(shè)備。還有一些情況下，F(xiàn)IDO2合規(guī)的MFA不過(guò)是其中一種選擇，用戶(hù)仍然可以選用其他不那么安全的身份驗(yàn)證形式。

Grover稱(chēng)：“攻擊者很容易利用重置/備份機(jī)制?！?/p>

有時(shí)候，使用FIDO2合規(guī)的MFA的公司會(huì)依賴(lài)第三方來(lái)管理其網(wǎng)絡(luò)或執(zhí)行其他基本功能。如果第三方員工可以使用強(qiáng)度不高M(jìn)FA形式訪問(wèn)公司的網(wǎng)絡(luò)，那公司采用高強(qiáng)度MFA的好處就幾乎破壞殆盡了。

甚至公司全面采用基于FIDO2的MFA，Nobelium也能夠突破這種防護(hù)措施。不過(guò)，他們的MFA繞過(guò)方法只有在完全拿下目標(biāo)的Active Directory之后才有用。Active Directory是防護(hù)強(qiáng)度較高的一種數(shù)據(jù)庫(kù)工具，網(wǎng)絡(luò)管理員常用來(lái)創(chuàng)建、刪除和修改用戶(hù)賬戶(hù)，給賬戶(hù)分配授權(quán)資源的訪問(wèn)權(quán)限。這種繞過(guò)方法超出了本文的討論范圍，因?yàn)橐坏〢ctive Directory被黑，基本就沒(méi)救了。

再次重申，任何形式的MFA都好過(guò)不用MFA。就算短信發(fā)送一次性密碼是唯一可用的MFA措施，這種措施再怎么錯(cuò)漏和麻煩都比不用MFA要安全得多。本文中沒(méi)有任何一句話(huà)有MFA不值得擁有的意思。

但很明顯，僅靠MFA是不夠的，沒(méi)有哪家企業(yè)能單靠MFA構(gòu)筑完整防線?？紤]到Cozy Bear的無(wú)限資源和一流技術(shù)，這家黑客組織能夠發(fā)現(xiàn)其中漏洞毫不令人意外。而隨著青少年都能使用相同的技術(shù)來(lái)入侵Nvidia、Okta和微軟等大公司，人們終于開(kāi)始認(rèn)識(shí)到正確使用MFA的重要性。

著名網(wǎng)絡(luò)安全記者Brian Krebs在其創(chuàng)辦的KrebsOnSecurity上寫(xiě)道：“盡管人們可能會(huì)將LAPSUS$視為不成熟的追名逐利的黑客團(tuán)伙，但每位企業(yè)安全負(fù)責(zé)人都應(yīng)該關(guān)注其所用戰(zhàn)術(shù)。”

MFA消息轟炸或許不是那么新鮮，但已不再是企業(yè)可以忽視的安全問(wèn)題。