对于黑客突破MFA保护机制的威胁,若我们从攻击者角度来设想,其许可以发现,会有不同的攻击方式与构面。
这里先要提醒的是,在突破MFA的手段上,普遍说法可能都称之为MFA绕过,因为从结果上都是绕过,但我们认为,从过程来看,在攻击层面上有其差异。
举例来说,首先,就是大家普遍比较关注的攻击手法,通过网络钓鱼或社交工程,借由用户本身来帮助黑客“通过MFA验证”,这包括了诱骗或窃取OTP验证码,以及发动MFA登录通知的轰炸攻击。
因此,现阶段产业界所提倡的FIDO/WebAuthn验证,是目前抵抗网络钓鱼的最佳方法,可避免这类型的问题。
另一种需要留意的是,通过“绕过MFA验证”的方式,这属于不同的攻击层面。例如,以网站应用程序的面向而言,攻击者通过Cookie Theft(pass-the-cookie attack)的Session劫持技术,直接取得已身份验证的证明资料,进而冒充用户连接,就是一种方式。
上述这种方式主要利用Web浏览器技术的运行逻辑,因此完全绕过了前段身份认证的流程,等于MFA也被绕过。特别的是,Cookie Theft的攻击也分成不同的手段,其防护方式也有差别。
过去Google曾表示,Cookie Theft是一项存在多年的攻击手法,他们并在2021年对YouTube创作者示警,指出攻击者会利用社交工程手法,诱使用户安装可窃取浏览器Cookie的恶意程序。
微软在2022年6月也曾公布一起威胁事件,黑客是利用Adversary-in-the-middle(AiTM)的钓渔网站手法,让用户前往真正目标网站前,会先经过一个代理服务器的钓渔网站,借此取得登录期间Cookie。
要如何防范不同的Cookie Theft的手法?台湾微软安全专家技术部技术专家林坚乐表示,面对这类型的攻击手法,现阶段可从端点安全、邮件安全等面向去应对。
例如,通过杀毒软件或端点侦测与回应(EDR),可以侦测恶意程序、用户或后台程序的异常行为,像是访问Cookie文件、或拦截MFA资讯的隐形代理行为,甚至再搭配应用程序签章、机密敏感文件夹纳管等安全管控措施进行强化。同时,也需留意所使用的浏览器是否提供跨设备同步资料的能力,确保身份权限无外泄之虞。
而对于防范AiTM的网络钓鱼手法,林坚乐也表示,像是在Microsoft 365邮件或微软Teams等联系渠道上,针对这类恶意网址就会有转址或沙箱的技术去检测。而从上述微软针对AiTM网络钓鱼事件的披露中,其实也有提到防范做法,例如,使用FIDO2实体安全密钥、Windows Hello for Business,以及基于凭证的认证,可防止AiTM网络钓鱼,或是从其他方式着手,像是配置条件式访问管理政策,以及上述监控从邮件与网站渠道的钓鱼来防止。
另外,我们也询问FIDO2实体安全密钥与相关解决方案的企业欧生全,从他们的见解来看,FIDO2/Webauthn提供的是前段的认证(authentication)保护机制,而涉及Cookie方面,这其实是超出Webauthn的威胁模型,因此现阶段最佳做法是零信任网络安全策略来防范,不只是强调抗网络钓鱼MFA,还包含最小权限、设备验证、资料访问层面,借由各方面帮助做到持续验证。而AiTM也是属于钓鱼的一种,在浏览器(无安装恶意扩展程序)与使用环境的https跟域名服务器都没有被篡改下,FIDO2/Webauthn都能防御这种钓鱼攻击,主要原因是浏览器都会检查origins/域名名称。