黑客绕过多因素验证黑入云计算系统账号,可能和SolarWinds攻击有关

美国网络安全暨基础架构管理局(Cybersecurity and Infrastructure Security Agency,CISA)本周警告,黑客发展出成功绕过多因素验证(multi-factor authentication,MFA)来黑入用户云计算服务的攻击手法。

CISA近日经手一件网络攻击案例,攻击者使用了多种攻击策略和手法,除了常见的钓鱼信件、暴力破解账号变更,可能也使用一种名为“发送cookie(pass the cookie)”的手法,以黑入受害者单位的云计算系统。

CISA解释攻击者在利用钓鱼信件诱使用户下载恶意程序,或以暴力破解账号进入受害者网络后进行后续攻击。后续攻击包括成功登录一个具有多因素验证(MFA)保护的账号。CISA相信,攻击者可能是在用户计算机上,以窃密程序取得浏览器的cookie,以绕过MFA的防护。另外,攻击者也变更受害者现有邮件的转发规则,将重要信件转发到黑客控制的账号,或是转到黑客设立的RSS文件夹中以免被发现。

Pass the cookie手法是指,攻击者利用窃取来的连接cookie来验证、登录到Web应用或服务。由于连接已经过验证,使攻击者可绕过某些MFA协议。

虽然CISA未指这受害者为何,不过可能是指本周云计算邮件安全服务商Mimecast。Mimecast昨(13)日向用户发布安全公告,该公司发给客户以Mimecast云计算系统,包括Sync and Recover、Continuity Monitor及Internal Email Protect登录Microsoft 365 Exchange Web Services的凭证,遭到黑客窃取。也即攻击者可绕过Exchange Web Service的MFA验证窃取、劫持用户MS365 Exchange的信件。

Mimecast建议用户立即删除连向Microsoft 365验证过的连接,并以新凭证重新创建连接。

Mimecast表示在其3.6万家客户中,有约10%使用了受影响的连接,虽然该公司相信遭到锁定的企业用户家数为个位数。

路透社引述三名进行调查的消息人士报道,Mimecast攻击者可能和SolarWinds黑客为同一批人,后者更波及多个美国政府单位,包括商务部、财政部及国土安全部等。

美国政府单位包括FBI、CISA都怀疑这批黑客和俄罗斯政府有关,不过俄罗斯政府否认这个说法。

发表评论