五種攻擊方法拿下雙因素驗證

多因素身份驗證(MFA)繼續體現企業(yè)IT安全實(shí)踐中最好和最差的方面。正如Roger Grimes三年前關(guān)于雙因素身份驗證黑客攻擊的的文章所言，MFA實(shí)現良好就是有效的，但只要IT經(jīng)理一走捷徑，MFA就形同虛設，可能造成災難性后果。而且，盡管越來(lái)越多的公司逐漸采用各種MFA方法保護用戶(hù)登錄，其應用仍遠未達到普及的程度。事實(shí)上，微軟去年的調查發(fā)現，99.9%的被盜賬戶(hù)根本沒(méi)有采用MFA，僅11%的企業(yè)賬戶(hù)受某種MFA方法的保護。

對MFA推廣應用而言，新冠肺炎疫情即是推手也是阻礙。疫情徹底改變了諸多企業(yè)用戶(hù)的日常計算模式，封城和遠程辦公潮為擴大MFA部署提供了機會(huì )——盡管同時(shí)也為黑客提供了新的網(wǎng)絡(luò )釣魚(yú)誘餌。

標普全球市場(chǎng)財智(S&P Global Market Intelligence)451 Research 高級研究分析師Garrett Bekker表示，由于太多人遠程辦公，部署MFA的企業(yè)數量從去年調查時(shí)的約一半提升到今年調查時(shí)的61%。然而，大多數企業(yè)的MFA應用仍然有限。不過(guò)，MFA已經(jīng)成為企業(yè)今后的首要任務(wù)了，優(yōu)先級比VPN還高。

最新版的威瑞森《數據泄露調查報告》中，美國特勤局網(wǎng)絡(luò )入侵響應主管Bernard Wilson稱(chēng)：“疫情期間淪為網(wǎng)絡(luò )攻擊受害者的企業(yè)中，忽視MFA和虛擬專(zhuān)用網(wǎng)實(shí)現的企業(yè)占了大部分。”

除了新冠肺炎疫情，還有其他因素在推動(dòng)MFA普及：

• 上個(gè)月，谷歌為所有用戶(hù)賬戶(hù)啟用MFA作為默認防護。Matt Tait(前英國政府通信總部分析師，現在Corellium工作)稱(chēng)此舉措為“這十年最重要的網(wǎng)絡(luò )安全改進(jìn)之一”。
• 2020年6月，蘋(píng)果宣布，9月隨iOS 14和macOS Big Sur發(fā)售的Safari 14將支持FIDO2協(xié)議，加入Android和大多數其他主流瀏覽器行列。盡管需要仔細研究如何跨瀏覽器、不同操作系統版本和智能手機應用部署，但FIDO一直在進(jìn)步。
• 美國總統拜登最近關(guān)于改善國家網(wǎng)絡(luò )安全的行政令也在敦促部署MFA：“本行政令頒布之日起180天內，(行政)機構應對靜態(tài)數據和傳輸中數據實(shí)施MFA和加密。”截止期限就落在2021年8月中旬。(當然，行政令中還包含很多其他內容。)

然而，最近的攻擊和事件顯示，在實(shí)現雙因素和多因素身份驗證方面，安全人員還有很多工作要做。惡意黑客掌握了多條利用MFA漏洞的途徑。

攻擊MFA的五種基本方法

(1) 基于短信的中間人攻擊。

MFA需要解決的最大問(wèn)題存在于其最常見(jiàn)的一種實(shí)現方式：通過(guò)短信發(fā)送一次性密碼。

黑客很容易入侵用戶(hù)智能手機，暫時(shí)將手機號分配到其控制的手機上?？梢酝ㄟ^(guò)結合RSA SecureID硬件令牌和公共網(wǎng)絡(luò )攝像頭來(lái)利用這一弱點(diǎn)。盡管這種方式可能頗為極端，但短信入侵一直在損害MFA登錄的總體可用性。

實(shí)現此類(lèi)攻擊的方法還有很多。其中一種是賄賂收買(mǎi)手機客服代理來(lái)重新分配手機號。另一種方式是利用商業(yè)服務(wù)獲得手機賬戶(hù)訪(fǎng)問(wèn)權。只要支付16美元的服務(wù)費，黑客就可以從路由指定號碼的所有短信，輕松拿下手機賬戶(hù)。

(2) 供應鏈攻擊。

近期最臭名昭著(zhù)的軟件供應鏈攻擊是SolarWinds攻擊。該攻擊致使各種各樣的代碼組件遭到感染，目標公司在毫無(wú)所覺(jué)的情況下就下載了帶后門(mén)的組件。防止此類(lèi)攻擊的方法也很多，其中包括運行時(shí)源代碼掃描。

正如Gartner分析師在2021年1月的一篇博客文章中所指出的，“注意，SolarWinds攻擊之所以被發(fā)現，是因為一名警報安全人員想知道為什么某員工要用第二部手機注冊多因子身份驗證。這意味著(zhù)攻擊者的目標是利用身份作為攻擊途徑，尤其是MFA。”

此類(lèi)攻擊一直是個(gè)問(wèn)題，今年4月Codecov的Bash Uploader工具中就發(fā)現了這樣的問(wèn)題。由于Docker鏡像安全松懈，黑客成功篡改了身份驗證憑據。該工具修改了代碼中插入的環(huán)境變量，而想要追蹤這一問(wèn)題就得跟蹤命令與控制服務(wù)器的目標IP地址。

(3) 利用被盜MFA繞過(guò)身份驗證工作流。

Liferay DXP v7.3中MFA模塊的拒絕服務(wù)漏洞是又一個(gè)MFA弱點(diǎn)例證。這個(gè)最近發(fā)現的漏洞可使任意注冊用戶(hù)通過(guò)修改用戶(hù)一次性口令通過(guò)身份驗證，造成目標用戶(hù)無(wú)法登錄。該漏洞現已修復。

(4) cookie傳遞攻擊。

這種攻擊利用瀏覽器cookie和在cookie中存儲身份驗證信息的網(wǎng)站。一開(kāi)始，這種方法是為了方便用戶(hù)，讓用戶(hù)可以保持應用登錄狀態(tài)。但如果黑客可以抽取這些數據，他們就能拿下你的賬戶(hù)。

(5) 服務(wù)器端偽造。

盡管不完全是MFA問(wèn)題，但Hafnium或許是近年來(lái)最大的漏洞利用，利用了包括服務(wù)器端偽造和任意文件寫(xiě)入漏洞在內的一系列攻擊，完全繞過(guò)了微軟Exchange服務(wù)器的身份驗證機制。該攻擊涉及Exchange服務(wù)器存在的四個(gè)零日漏洞。微軟為此發(fā)布了一系列補丁。

正確部署雙因素身份驗證

這些不過(guò)是著(zhù)名漏洞利用案例中的一部分，表明我們需要恰當而安全地實(shí)現MFA。451 Research的Bekker稱(chēng)：“MFA實(shí)現不好就像戴了副廉價(jià)墨鏡，根本起不到什么防護作用。而且，MFA未能在企業(yè)普及的最大問(wèn)題，就是其糟糕的用戶(hù)體驗。”

他還指出了另一個(gè)問(wèn)題，“MFA仍然是個(gè)二元選擇，就好像夜總會(huì )的保安：一旦進(jìn)入企業(yè)網(wǎng)絡(luò )內部，你就可以為所欲為，沒(méi)人會(huì )知道你到底在干什么。MFA如果要起到應有的作用，就必須配合零信任和持續的身份驗證技術(shù)。”許多安全供應商如今將MFA與自適應身份驗證產(chǎn)品結合到一起，但其實(shí)現過(guò)于復雜。

賬戶(hù)恢復選項也值得進(jìn)一步討論。很多企業(yè)為普通賬戶(hù)登錄設置了牢固的MFA防護，但如果用戶(hù)忘記了自己的口令，可以通過(guò)發(fā)送短信密碼開(kāi)啟賬戶(hù)恢復過(guò)程。這就是黑客可以趁虛而入的地方了。

阿卡邁行業(yè)戰略顧問(wèn)Gerhard Giese在去年的一篇文章中指出了這一點(diǎn)，描述了MFA未必總能防止憑證填充的情況。他說(shuō)，IT經(jīng)理需要“重新審查自己的身份驗證工作流和登錄界面，確保攻擊者不會(huì )通過(guò)查詢(xún)Web服務(wù)器的響應來(lái)發(fā)現有效憑證，還應實(shí)現機器人管理解決方案，讓攻擊者沒(méi)那么容易突破。”

今年年初的時(shí)候，美國計算機應急響應小組發(fā)布了關(guān)于潛在MFA漏洞的警報，其中提到了網(wǎng)絡(luò )釣魚(yú)和登錄憑證暴力破解，還建議對包括賬戶(hù)恢復在內的所有身份驗證活動(dòng)實(shí)施MFA，以及改善特權訪(fǎng)問(wèn)的安全狀況。

MFA技術(shù)應該成為企業(yè)安全關(guān)鍵基礎設施的一部分。近期的攻擊案例，以及來(lái)自政府和私營(yíng)產(chǎn)業(yè)領(lǐng)域專(zhuān)家的敦促，應為MFA的明智實(shí)現提供更多動(dòng)力。