美联储警告称,网络犯罪分子通过绕过多种因素进行认证(MFA),从而成功攻击了美国多家机构的云服务。
网络安全和基础设施安全(CISA)周三发布的警报最近有 "成功入侵云设施的网络攻击 "。据该机构称,大多数攻击都是利用网络配置错误等漏洞进行的。
警报概述:"这种类型的攻击经常发生在员工使用公司笔记本电脑和个人设备访问云服务时。虽然该组织使用安全工具,但攻击组织的网络环境通常非常薄弱,这使得黑客很容易攻击。"
例如,在一个案例中,组织不需要使用虚拟专用网络让员工远程访问公司网络。
CISA解释说:"虽然他们的服务器位于公司的防火墙上,但由于目前远程办公的需要,为了让员工远程访问,他们打开服务器的80端口, 很容易使组织受到网络攻击"
该机构还指出,网络钓鱼和 "cookie传递 "攻击是云攻击的主要攻击方式。
网络钓鱼和绕过MFA
在网络钓鱼攻击方面,目标通常会收到包含恶意链接的电子邮件。一些电子邮件伪装成文件托管服务的警报。在这两种情况下,恶意链接跳转到钓鱼页面,并要求他们提供账户登录凭证。因此,网络犯罪分子有权登录云服务。
根据警报:"CISA尽管攻击者可能使用代理或The Onion Router(Tor)伪造他们的位置),然后攻击者将使用该组织的帐户向用户发送钓鱼邮件进行攻击。在某些情况下,这些电子邮件还包含了该组织的文件托管服务的文件链接。"
与此同时,攻击者使用 "传递cookie "攻击来绕过MFA。浏览器的cookie存储用户的认证信息,使网站能够保持用户的登录状态。MFA验证条件后,将存储认证信息cookie因此,用户将不再被提示MFA检查。
因此,如果攻击者使用正确cookie,他们可以在浏览器会话中被认证为合法用户,从而绕过所有用户MFA检查。正如Stealthbits在最近的一篇文章中,攻击者需要欺骗用户点击钓鱼邮件入侵用户系统,然后使用一个非常简单的命令从机器上提取相应的cookie。
KnowBe4的数据驱动防御架构师Roger Grimes电子邮件表示:"需要注意的是,如果企业不了解,MFA如果你认为漏洞和黑客绕过了认证方法,企业最好不要使用它。MFA能使企业更安全 (事实并非如此),那么你的防御措施可能是脆弱的。但如果你知道的话MFA它是如何被攻击并和解的?MFA用户及其系统设计师分享,您的云服务更安全。关键是要意识到一切都可能被黑客攻击。MFA这不是一种特殊而神奇的防御措施,任何黑客都无法突破。相反,围绕它MFA网络安全意识培训非常重要,因为只有这样,组织的云服务才会更安全。"
利用转发规则
CISA还观察到攻击者在入侵成功后,利用电子邮件转发规则收集敏感信息。
转发规则允许用户将工作邮件发送到自己的电子邮件账户,这是远程办公人员非常有用的功能。
CISA它表示,通过修改用户账户上的电子邮件规则,观察到攻击者将电子邮件重定位到攻击者控制的账户上。
据该机构称:"攻击者还修改了现有规则,搜索用户的电子邮件信息(主题和文本),寻找与金融相关的关键字,然后将电子邮件转发到攻击者的账户。为了防止用户看到警告信息,攻击者还创建了一个新的电子邮件规则,将用户收到的一些电子邮件(特别是与一些钓鱼相关的关键字)转发给合法用户RSS Feeds或RSS在订阅文件夹中。
云安全
在当前社会发展趋势下,云应用将在明年加速发展,软件、服务和云托管存储将促进这一趋势的发展。Rebyc一项研究发现,35%的受访者表示,他们计划在2021年将 的工作内容迁移到云端。
因此,云应用和云环境也越来越受到攻击者的关注。例如,12月,美国国家安全局警告说,攻击者已经开发了利用企业内部网络访问漏洞入侵云的技术。
警告写道:"网络攻击者正在利用联合认证环境中的漏洞来访问受保护的数据,这种攻击一般发生在攻击者获得对受害者内部网络的访问权限之后。攻击者利用企业内部的访问权限来破坏资源访问权的授予机制,或者破坏具有云资源管理能力的管理员的凭证。"
本文翻译自:https://threatpost.com/cloud-attacks-bypass-mfa-feds/163056/