多因素身份验证(MFA)是防止账户被黑客接管的最有效的核心防御措施之一。除了要求用户提供用户名和密码之外,MFA还确保他们必须使用其他因素(指纹、物理安全密钥或一次性密码)才能访问账户。
最强大的MFA形式是基于一个被称为FIDO2的框架,该框架旨在平衡安全性和使用简单性。用户可以选择使用设备内置的指纹读取器或摄像头或专用安全密钥来确认他们是否有权访问账户。FIDO2形式的MFA相对较新,因此面向消费者和大型组织的许多服务尚未采用它们。
传统的MFA往往通过短信发送的一次性密码,由谷歌Authenticator等移动应用程序生成的一次性密码,以及发送到移动设备的推送提示。当用户使用有效密码登录时,他们还必须在登录屏幕上输入一次性密码,或者按下手机屏幕上显示的按钮。
传统MFA技术式微 即时轰炸技术正在兴起
据安全公司 Mandiant称,最近的几起攻击事件表明,这种传统的MFA正在被攻击者绕过,对一些黑客来说只是小菜一碟。Cozy Bear黑客组织就是擅长绕过传统MFA技术的佼佼者。Cozy Bear是一群为俄罗斯外国情报局工作的精英黑客。该组织还被命名为 Nobelium、APT29和Dukes。
Mandiant研究人员写道:“许多MFA提供商允许用户接受手机应用推送通知或接听电话并按下按键作为第二个因素。Cozy Bear组织正是利用这一点,向用户的合法设备发出多个MFA请求,直到用户接受身份验证,从而威胁行为者最终获得对该账户的访问权限。”
最近几个月入侵了微软、Okta和Nvidia的黑客团伙Lapsus$同样也使用了该技术发起攻击。
Lapsus$的一名成员在该组织的官方Telegram频道上写道:“通话次数是没有限制的。凌晨1点在被攻击者睡觉时给他打100次电话,他很有可能会接受。一旦员工接受了初始呼叫,就可以访问MFA注册门户并注册另一个设备。” 他表示,即便是微软在面对MFA即时轰炸技术时也难以守住防线。微软早些时候承认,黑客组织能够访问其一名员工的笔记本电脑。
Lapsus$的这名成员称,“当我们同时在德国和美国登录微软员工的VPN后,他们似乎都没有注意到这一情况。甚至还能够重新注册MFA两次。”
Mike Grover是为安全专业人士提供红队黑客工具的卖家,同时也是一名红队顾问。他表示该技术从根本上说是一种采用多种形式的单一方法:诱骗用户接受MFA要求。MFA 即时轰炸已迅速成为一个术语,但人们忽略了这种技术的实现方法。
方法包括:
•发送一堆 MFA 请求并希望目标最终接受一个以使“轰炸”停止。
•每天发送一到两个提示。这种方法虽然通常不太受到关注,但目标仍然很有可能接受 MFA 请求。
•打电话给目标对象,并假装是目标组织的一员,告诉目标他们需要发送 MFA 请求作为公司流程的一部分。
Grover说这些只是几个例子,但重要的是要知道大规模轰炸并不是唯一的形式。他在Twitter帖子中写道,“红队多年来一直在玩这种变体。它帮助了那些有幸拥有红队的公司。但现实世界的攻击者在这方面的进展速度要快于一直在改善的大多数公司。”
其他研究人员也指出,MFA轰炸技术其实并不新鲜。
红队专业人士Greg Linares表示,Lapsus$不是MFA即时轰炸的发明者,这种攻击途径早在Lapsus$出现2年前就已经被大肆利用。
基于FIDO2框架的新型MFA技术走入视野
如前所述,FIDO2 形式的 MFA 不受及时技术的影响,因为它们与登录站点时使用的物理机器绑定在一起。换句话说,也就是必须在登录的设备上进行身份验证。不能在一台设备上授予对不同设备的访问权限。
但这并不意味着使用符合 FIDO2 标准的 MFA 的组织不会受到即时轰炸的影响。员工使用这种形式的 MFA 时仍然不可避免地可能会丢失物理凭证,比如 iPhone 丢失或笔记本电脑上的指纹读取器受损等等。
因此,组织必须采取应急措施来处理这些不可避免的事件。如果员工丢失发送附加因子所需的密钥或设备,那么他们就会求助于更易受攻击的 MFA 形式。在这种情况下,黑客可以欺骗 IT 管理员重置 MFA 并注册新设备。由此可见,符合 FIDO2 的 MFA 只是一种选择,叠加使用传统形式的MFA依旧是常态。
值得一提的是,使用基于FIDO2 框架MFA 的组织通常会依靠第三方来管理其网络或执行其他基本功能,在这种情况下,如果第三方员工使用较弱形式的 MFA 访问该公司的网络,也会在一定程度上削弱这种新型MFA技术的效果。
不过,任何形式的MFA都比不使用MFA好。如果由短信发送的一次性密码都是可用的——尽管这些密码容易出错且令人不快——那么这个系统仍然比没有MFA要好得多。但很明显,仅靠MFA是不够的。
当Nvidia、Okta和Microsoft这样强大的组织都遭受到黑客攻击时,人们才开始认识到正确使用MFA的重要性。虽然MFA即时轰炸并非新出现的攻击手段,但它已成为组织在安全防护中不容忽视的一种攻击方法。