美政府警告：发现多起云服务账号劫持攻击，多因素认证被绕过

点击蓝字关注我们

美国网络安全与基础设施安全局（CISA）今天表示，恶意攻击者已经绕过多因素身份验证（MFA）协议以入侵云服务账户。

该网络安全机构在本周三表示，“CISA最近发现多起针对不同组织的成功云服务网络攻击。”

“参与这些攻击的参与方使用到多种策略及手段（包括网络钓鱼、暴力登录尝试以及潜在的「cookie传递」攻击），尝试利用目标组织内云安全体系中的弱点。”

单靠MFA并不足以保得周全

以往，恶意攻击者在以暴力攻击方式访问某些目标云资产时，往往会因无法猜出正确凭证或对方启用了MFA身份验证而遭遇失败。

但在最近至少一次攻击事件中，攻击者在目标启用了多因素身份验证（MFA）的情况下，仍成功完成了账户登录。

CISA认为恶意攻击者可能是利用“cookie传递”攻击突破了MFA身份验证协议。在此次攻击中，恶意攻击者使用窃取到的会话cookie劫持了已通过身份验证的会话，进而成功登录了在线服务或Web应用程序。

该机构还观察到，攻击者先是利用骗取到的员工凭证获取初始访问权限，而后仿冒组织内部的文件托管服务向其他用户分发恶意附件，因此窃取其他账户的相关信息。

在其他案例中，恶意攻击者还曾尝试修改或设置电子邮件的转发规则与搜索规则，借此自动从受感染的邮件账户中收集敏感及财务信息。

CISA方面补充道，“除了修改现有用户的邮件规则之外，恶意攻击者还会创建新的邮箱规则，将用户收到的某些邮件（特别是带有关于网络钓鱼的关键字的邮件）转至合法用户的RSS信息源或RSS订阅文件夹内，借此防止合法用户收取警告提醒。”

美国联邦调查局（FBI）还警告各美国组织，攻击者会在商业邮件入侵（BEC）攻击中滥用Web邮件客户端中的自动转发规则。

此波攻击与SolarWinds黑客事件无关

CISA表示，本轮攻击与SolarWInds供应链或其他近期曝光的恶意活动没有明确关联。

CISA此次发现的攻击活动主要针对目标员工，利用的是对方使用公司提供或个人购买的设备、通过居家环境访问组织云服务的远程办公方式。

尽管正确匹配有多因素身份验证等安全解决方案，但薄弱的网络卫生习惯仍是致使攻击成功的主要原因。

本次发布的信息，来自CISA近期执行的多轮安全事件响应活动。CISA还提出了“缓解措施建议，供各类组织增强自身云环境配置，借此抵御、检测并响应潜在的攻击活动。”

此次通报还附有事件危害与策略、技术及程序（TTP）指标，可进一步帮助管理员及安全团队有效应对针对组织内云资产的攻击活动。

CISA在建议中涵盖了组织可以采取的措施，如何加强云安全配置以及怎样阻止后续针对其云服务的进一步攻击。

上周五，该机构还发布了另一条关于SolarWinds攻击者以密码喷洒与密码猜测等方式发动攻击的安全警报，其中提到攻击方并未利用Sunburst后门，而是从效率低下的登录凭证上找到了突破口。

2020年12月，美国国家安全局也曾在公告中警示过黑客伪造云身份验证信息、借此获取目标云资源访问权限的事件。

原文链接：

https://www.bleepingcomputer.com/news/security/cisa-hackers-bypassed-mfa-to-access-cloud-service-accounts/

欢迎加入“安全内参热点讨论群”

   后台回复“入群”获取进群方式。

扫描二维码关注我们

互 联 网 安 全 内 参

网络安全首席知识官

转载微信：security_xc

翻译供稿：security4

投稿邮箱：anquanneican@163.com