黑客找到繞過多因素認(rèn)證的巧妙方法
近日,APT黑客組織通過“日爆攻擊”(SUNBURST)SolarWinds的網(wǎng)絡(luò)管理軟件,滲透到了包括五角大樓和白宮在內(nèi)的1.8萬家企業(yè)和政府機(jī)構(gòu),在網(wǎng)絡(luò)安全業(yè)界掀起軒然大波。
據(jù)網(wǎng)絡(luò)安全公司Volexity報道,實(shí)施“日爆攻擊”的APT組織已經(jīng)設(shè)計出一種巧妙的方法,能夠繞過目標(biāo)網(wǎng)絡(luò)的多因素身份驗(yàn)證系統(tǒng)。
安全公司Volexity的研究人員周一表示,它在2019年末和2020年初遇到了與“日爆攻擊”黑客手法類似的攻擊者,該攻擊者深入某智庫組織內(nèi)部的次數(shù)不少于3次。
在一次攻擊期間,Volexity研究人員注意到黑客使用了一種新穎的技術(shù)繞過了Duo提供的多因素身份驗(yàn)證保護(hù)(MFA)。在受感染的網(wǎng)絡(luò)上獲得管理員特權(quán)后,黑客利用這些特權(quán)賬戶從運(yùn)行Outlook Web App(各種網(wǎng)絡(luò)服務(wù)提供帳戶身份驗(yàn)證)的服務(wù)器上竊取了名為akey的Duo機(jī)密信息。
然后,黑客使用akey預(yù)先生成cookie,用來繞過目標(biāo)賬戶的MFA驗(yàn)證。Volexity認(rèn)為攻擊者是國家黑客組織Dark Halo。研究人員Damien Cash、Matthew Meltzer、Sean Koessel、Steven Adair和Thomas Lancaster寫道:
| 在Volexity調(diào)查Dark Halo參與的第二次攻擊時,觀察到攻擊者通過OWA訪問了用戶的電子郵件賬戶。這是讓人吃驚的,因?yàn)槟繕?biāo)郵箱受MFA保護(hù)。來自Exchange服務(wù)器的日志顯示,攻擊者提供的用戶名和密碼身份驗(yàn)證正常,但繞過了Duo的兩步驗(yàn)證。而Duo身份驗(yàn)證服務(wù)器的日志卻并未記錄該用戶的登錄行為。Volexity確認(rèn),該攻擊不涉及會話劫持,而是通過OWA服務(wù)器的內(nèi)存轉(zhuǎn)儲,攻擊者使用了與Duo MFA會話(duo-sid)綁定的cookie。
在雙因素認(rèn)證中,密碼驗(yàn)證成功后,服務(wù)器會評估duo-sid cookie,并確定其是否有效。Volexity的調(diào)查發(fā)現(xiàn),攻擊者從OWA服務(wù)器訪問了Duo集成密鑰(akey)。然后,該密鑰使攻擊者可以在duo-sid cookie中設(shè)置預(yù)先計算的值。這使攻擊者僅需獲取用戶帳戶和密碼就能完全繞過帳戶的MFA驗(yàn)證機(jī)制。此事件強(qiáng)調(diào)了確保與密鑰集成關(guān)聯(lián)的所有機(jī)密(例如與MFA提供者的機(jī)密)應(yīng)在發(fā)生泄露后進(jìn)行更改的必要性。此外,重要的是,修改密碼時不要使用與舊密碼類似的新密碼(例如,把舊密碼Summer2020!改成Spring2020!)。 |
Volexity對Dark Halo的攻擊描述表明,與其他安全研究人員的結(jié)論一致,那就是攻擊者展現(xiàn)了極高的技術(shù)水平。
《華盛頓郵報》和《紐約時報》均援引了不具姓名的政府人士的說法,稱發(fā)動“日爆攻擊”的是APT黑客組織APT29,也被稱為Cozy Bear,是俄羅斯聯(lián)邦安全局(FSB)的一部分。
盡管本案例中的MFA多因素身份驗(yàn)證技術(shù)的提供者是Duo,但其他MFA技術(shù)也完全有可能被繞過。因?yàn)镸FA威脅建模通常不包括對OWA服務(wù)器的系統(tǒng)性攻擊。而黑客獲得的訪問權(quán)限級別也足以關(guān)閉幾乎所有防御措施。
DUO發(fā)表的官方聲明中寫道:
| 思科公司的Duo Security注意到最近有安全研究人員發(fā)表了博客文章,討論了在過去一年中從特定威脅參與者團(tuán)體中觀察到的多個安全事件。這些事件之一涉及Duo與Outlook Web Application(OWA)的集成。
事件的根源不是Duo產(chǎn)品中存在任何漏洞。而是攻擊者從現(xiàn)有的受感染客戶環(huán)境(例如電子郵件服務(wù)器)中獲得了對集成憑據(jù)的特權(quán)訪問,這些集成憑據(jù)對于Duo服務(wù)的管理是必不可少的。 為了減少發(fā)生此類事件的可能性,當(dāng)務(wù)之急是保護(hù)集成秘密以防組織內(nèi)暴露,并在懷疑有攻擊的情況下輪換密鑰。與MFA集成的服務(wù)被入侵,也能導(dǎo)致集成秘密的泄露,以及對MFA保護(hù)的系統(tǒng)和數(shù)據(jù)的非法訪問。 |
Volexity說,Dark Halo的主要目標(biāo)是獲取智囊團(tuán)內(nèi)部特定個人的電子郵件。這家安全公司表示,Dark Halo是一個復(fù)雜的威脅參與者,與任何知名的威脅參與者沒有任何聯(lián)系。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
