黑客找到繞過多因素認證的巧妙方法
近日,APT黑客組織通過“日爆攻擊”(SUNBURST)SolarWinds的網絡管理軟件,滲透到了包括五角大樓和白宮在內的1.8萬家企業和政府機構,在網絡安全業界掀起軒然大波。
據網絡安全公司Volexity報道,實施“日爆攻擊”的APT組織已經設計出一種巧妙的方法,能夠繞過目標網絡的多因素身份驗證系統。
安全公司Volexity的研究人員周一表示,它在2019年末和2020年初遇到了與“日爆攻擊”黑客手法類似的攻擊者,該攻擊者深入某智庫組織內部的次數不少于3次。
在一次攻擊期間,Volexity研究人員注意到黑客使用了一種新穎的技術繞過了Duo提供的多因素身份驗證保護(MFA)。在受感染的網絡上獲得管理員特權后,黑客利用這些特權賬戶從運行Outlook Web App(各種網絡服務提供帳戶身份驗證)的服務器上竊取了名為akey的Duo機密信息。
然后,黑客使用akey預先生成cookie,用來繞過目標賬戶的MFA驗證。Volexity認為攻擊者是國家黑客組織Dark Halo。研究人員Damien Cash、Matthew Meltzer、Sean Koessel、Steven Adair和Thomas Lancaster寫道:
| 在Volexity調查Dark Halo參與的第二次攻擊時,觀察到攻擊者通過OWA訪問了用戶的電子郵件賬戶。這是讓人吃驚的,因為目標郵箱受MFA保護。來自Exchange服務器的日志顯示,攻擊者提供的用戶名和密碼身份驗證正常,但繞過了Duo的兩步驗證。而Duo身份驗證服務器的日志卻并未記錄該用戶的登錄行為。Volexity確認,該攻擊不涉及會話劫持,而是通過OWA服務器的內存轉儲,攻擊者使用了與Duo MFA會話(duo-sid)綁定的cookie。
在雙因素認證中,密碼驗證成功后,服務器會評估duo-sid cookie,并確定其是否有效。Volexity的調查發現,攻擊者從OWA服務器訪問了Duo集成密鑰(akey)。然后,該密鑰使攻擊者可以在duo-sid cookie中設置預先計算的值。這使攻擊者僅需獲取用戶帳戶和密碼就能完全繞過帳戶的MFA驗證機制。此事件強調了確保與密鑰集成關聯的所有機密(例如與MFA提供者的機密)應在發生泄露后進行更改的必要性。此外,重要的是,修改密碼時不要使用與舊密碼類似的新密碼(例如,把舊密碼Summer2020!改成Spring2020!)。 |
Volexity對Dark Halo的攻擊描述表明,與其他安全研究人員的結論一致,那就是攻擊者展現了極高的技術水平。
《華盛頓郵報》和《紐約時報》均援引了不具姓名的政府人士的說法,稱發動“日爆攻擊”的是APT黑客組織APT29,也被稱為Cozy Bear,是俄羅斯聯邦安全局(FSB)的一部分。
盡管本案例中的MFA多因素身份驗證技術的提供者是Duo,但其他MFA技術也完全有可能被繞過。因為MFA威脅建模通常不包括對OWA服務器的系統性攻擊。而黑客獲得的訪問權限級別也足以關閉幾乎所有防御措施。
DUO發表的官方聲明中寫道:
| 思科公司的Duo Security注意到最近有安全研究人員發表了博客文章,討論了在過去一年中從特定威脅參與者團體中觀察到的多個安全事件。這些事件之一涉及Duo與Outlook Web Application(OWA)的集成。
事件的根源不是Duo產品中存在任何漏洞。而是攻擊者從現有的受感染客戶環境(例如電子郵件服務器)中獲得了對集成憑據的特權訪問,這些集成憑據對于Duo服務的管理是必不可少的。 為了減少發生此類事件的可能性,當務之急是保護集成秘密以防組織內暴露,并在懷疑有攻擊的情況下輪換密鑰。與MFA集成的服務被入侵,也能導致集成秘密的泄露,以及對MFA保護的系統和數據的非法訪問。 |
Volexity說,Dark Halo的主要目標是獲取智囊團內部特定個人的電子郵件。這家安全公司表示,Dark Halo是一個復雜的威脅參與者,與任何知名的威脅參與者沒有任何聯系。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
