美聯儲警告稱，網絡犯罪分子通過繞過多因素認證(MFA)，從而成功的攻擊了美國多家機構的云服務。

根據網絡安全和基礎設施安全局(CISA)周三發布的警報，最近有 "幾起成功地入侵云端設施的網絡攻擊 "。根據該機構的說法，大多數攻擊都是利用了網絡配置錯誤等漏洞來進行的攻擊。

[[376950]]

警報概述："這種類型的攻擊經常在員工使用公司筆記本電腦和個人設備訪問云服務時發生，盡管機構使用了安全工具，但是被攻擊的組織的網絡環境通常是非常薄弱的，使得黑客能夠很容易地進行攻擊。"

例如，在一個案例中，一個組織不需要使用虛擬專用網絡來讓員工遠程訪問公司網絡。

CISA解釋說："雖然他們的服務器位于公司的防火墻內，但由于目前遠程辦公的需要，為了讓員工遠程訪問它，他們將服務器的80端口對外開放， 這樣就很容易使該組織受到網絡攻擊"

該機構還指出，網絡釣魚和 "cookie傳遞 "攻擊是進行云端攻擊的主要攻擊方式。

網絡釣魚和繞過MFA

在網絡釣魚攻擊方面，目標通常會收到含有惡意鏈接的電子郵件。有的電子郵件會偽裝成文件托管服務的警報。在這兩種情況下，惡意鏈接都會跳轉到一個釣魚頁面，并要求他們提供賬戶登錄憑證。網絡犯罪分子因此獲得了登錄云端服務的權限。

根據警報："CISA觀察到攻擊者的登錄地在國外(盡管攻擊者可能使用代理或The Onion Router(Tor)來偽造他們的位置)，然后，攻擊者會使用組織的帳戶，給用戶發送釣魚郵件進行攻擊。在某些情況下，這些電子郵件中還含有該組織的文件托管服務的文件鏈接。"

與此同時，攻擊者已經能夠利用 "傳遞cookie "攻擊來繞過MFA。瀏覽器的cookie用于存儲用戶的認證信息，這樣可以使網站保持用戶的登錄狀態。在滿足MFA驗證的條件后，認證信息會被存儲在cookie中，因此用戶之后就不會再被提示進行MFA檢查。

因此，如果攻擊者使用了正確的cookie，他們就可以在一個瀏覽器會話中被認證為合法用戶，從而繞過所有的MFA檢查。正如Stealthbits在最近的一篇文章中所解釋的那樣，攻擊者需要欺騙用戶點擊釣魚郵件等方式來入侵用戶的系統，然后使用一個很簡單的命令就可以從機器上提取相應的cookie。

KnowBe4的數據驅動防御架構師Roger Grimes通過電子郵件表示："需要注意的是，如果企業不了解MFA的漏洞和黑客繞過認證的方法，那么企業還不如不使用它，如果你認為使用MFA可以使企業更加安全 (事實并非如此)，那么你的防御措施可能會不堪一擊。但如果你了解MFA是如何被攻擊的，并且把這些和MFA的用戶以及它的系統設計者來分享，你的云服務就更加安全。關鍵是要意識到，一切都可能會被黑客攻擊。MFA并不是一種特殊的、神奇的防御措施，任何黑客都無法攻破。相反，圍繞MFA進行網絡安全意識培訓是非常重要的，因為也只有這樣，組織的云服務才會更加安全。"

轉發規則的利用

CISA表示，它還觀察到攻擊者在入侵成功后，通過利用電子郵件轉發規則來收集敏感信息。

轉發規則允許用戶將工作郵件發送到他們自己的電子郵件賬戶中，這個功能對于遠程辦公人員來說是一個非常有用的功能。

CISA表示，它已經觀察到攻擊者通過修改用戶賬戶上的電子郵件規則，從而將電子郵件重定向到攻擊者自己控制的賬戶上。

據該機構稱："攻擊者還修改了現有的規則，搜索用戶的電子郵件信息(主題和正文)，尋找與金融相關的關鍵字，然后將電子郵件轉發到攻擊者的賬戶上，為了防止用戶看到警告信息，攻擊者還創建了新的郵箱規則，將用戶收到的某些郵件(特別是帶有某些釣魚相關關鍵詞的郵件)轉發到合法用戶的RSS Feeds或RSS訂閱文件夾中。

云安全

在當前社會發展的趨勢下，云端應用在未來一年內會加速發展，軟件即服務、云托管存儲將推動這一趨勢的發展。Rebyc的一項研究發現，35%的受訪公司表示，他們計劃在2021年將 工作內容向云端進行遷移。

相應地，云端應用和云端環境也越來越受到攻擊者的關注。例如，在12月份，美國國家安全局發布警告稱，攻擊者已經研發出了利用企業內部網絡訪問漏洞來入侵云端的技術。

該警告寫道："網絡攻擊者正在利用聯合認證環境中的漏洞來訪問受保護的數據，這種攻擊一般發生在攻擊者獲得對受害者內部網絡的訪問權限之后。攻擊者利用企業內部的訪問權限來破壞資源訪問權的授予機制，或者破壞具有云資源管理能力的管理員的憑證。"

本文翻譯自：https://threatpost.com/cloud-attacks-bypass-mfa-feds/163056/