多因素身份驗證(MFA)是防止賬戶接管的最有效核心防御措施之一。除了要求提供用戶名和密碼，MFA還要求用戶必須使用額外的驗證因素：指紋、物理安全密鑰，或者一次性密碼;否則就不能登錄賬戶。本文中的任何內(nèi)容都不應(yīng)解讀為在說MFA不重要。

也就是說，某些形式的MFA比其他形式更為強大。而最近發(fā)生的安全事件表明，強度較低的MFA對一些黑客而言不過是小菜一碟，很輕松就能繞過。過去幾個月以來，Lapsus$數(shù)據(jù)勒索團伙這樣的腳本小子群體和俄羅斯菁英黑客國家隊(比如SolarWinds軟件供應(yīng)鏈安全事件背后的黑客組織Cozy Bear)都成功擊敗了MFA防護措施。

MFA消息轟炸

最強大的幾種MFA形式基于名為FIDO2的框架，這是由多家主流公司結(jié)成的聯(lián)盟所開發(fā)的一個框架，旨在平衡安全和使用簡單性。借助這個框架，用戶可以選擇使用內(nèi)置于其設(shè)備中的指紋讀取器或攝像頭，或者專用安全密鑰，來確認(rèn)自己有權(quán)訪問某個賬戶?；贔IDO2的MFA形式相對較新，所以普通消費者和大型企業(yè)使用的很多服務(wù)都尚未采納此類MFA。

這些服務(wù)使用的是不那么強大的老舊MFA形式。其中包括通過短信發(fā)送或由Google Authenticator等移動應(yīng)用生成的一次性密碼，或者發(fā)送到移動設(shè)備的推送消息。在登錄時，除了有效密碼，用戶還必須在登錄界面輸入一次性密碼，或者按一下手機屏上顯示的按鈕。

最近的報道揭示，就是這最后一種身份驗證形式會被攻擊者繞過。安全公司Mandiant表示，俄羅斯對外情報局麾下精英黑客團隊Cozy Bear(亦稱Nobelium、APT29和Dukes)就在使用這一技術(shù)。

Mandiant研究人員寫道：“很多MFA提供商允許用戶接受手機應(yīng)用推送通知或接聽電話，然后按個按鍵，以此作為第二個驗證因素。Nobelium黑客組織利用這一點，向最終用戶的合法設(shè)備發(fā)出多個MFA請求，直到用戶接受身份驗證，最終獲得對其賬戶的訪問權(quán)限?！?/p>

最近幾個月入侵微軟、Okta Nvidia的黑客團伙L(fēng)apsus$也使用了該技術(shù)。

一名Lapsus$成員在該團伙的官方Telegram頻道上寫道：“撥打次數(shù)毫無限制。在員工想要睡覺的凌晨1點給他打100次電話，他很可能會接聽。一旦接聽，你就可以訪問MFA注冊門戶，注冊另一臺設(shè)備。”

這位Lapsus$成員聲稱，MFA消息轟炸技術(shù)可以攻破微軟的防護。本周早些時候，微軟表示一名員工的筆記本電腦遭Lapsus$黑客組織登錄。

這個人寫道：“甚至微軟都攔不住我們!我們能夠同時從德國和美國登錄微軟員工的VPN，他們甚至都沒注意到。我們還能重新注冊MFA兩次。”

Mike Grover為安全專業(yè)人士提供紅隊黑客工具，同時也是一名紅隊顧問，Twitter用戶名為_MG_。他向媒體透露，這種MFA繞過技術(shù)“從根本上說是呈現(xiàn)多種形式的一種方法：誘騙用戶接受MFA請求?！甅FA轟炸’迅速成了個描述詞，但這個詞忽略了更為隱蔽的多種方法。”

這些方法包括：

• 發(fā)送大量MFA請求，寄希望于目標(biāo)用戶煩不勝煩而最終接受。
• 每天發(fā)送一兩條MFA消息。這種方法通常不怎么引起注意，但“仍然很有可能誘使目標(biāo)用戶接受MFA請求”。
• 給目標(biāo)用戶打電話，裝作是公司一員，告訴目標(biāo)用戶說按公司流程需要發(fā)送一條MFA請求。

Grover稱：“這些僅僅是舉個例子，要知道，密集轟炸可不是唯一的形式?！?/p>

在Twitter帖子中，他寫道：“紅隊早幾年就這么干了，各種玩法都試過。有幸擁有紅隊的公司都得益于此。但現(xiàn)實世界中的攻擊者改進這種攻擊方法的速度超過了大多數(shù)公司的防御措施改善速度?！?/p>

其他研究人員很快指出，MFA消息轟炸技術(shù)不是什么新鮮事物。

紅隊專業(yè)人士Greg Linares就發(fā)推表示：“Lapsus$可沒發(fā)明‘MFA消息轟炸’。別再給他們冠上‘MFA消息轟炸創(chuàng)造者’的名號了?，F(xiàn)實世界里，這種攻擊方法早在Lapsus$闖出名號前2年就有人用了。”

干得漂亮！FIDO

如前文所述，基于FIDO2的MFA形式不容易受到MFA消息轟炸的影響，因為此類MFA形式與用戶登錄站點時所用的實體機器有關(guān)。換句話說，身份驗證過程必須在登錄設(shè)備上進行。一臺設(shè)備上進行的身份驗證無法賦予另一臺設(shè)備訪問權(quán)限。

但這并不意味著使用FIDO2合規(guī)的MFA就對消息轟炸免疫。采用此類MFA形式的用戶中總有一定比例的人會遺失他們的密鑰，手機掉馬桶里，或者搞壞自己筆記本電腦的指紋讀取器。

企業(yè)必須有應(yīng)急措施來處理這些不可避免的事件。如果員工丟失發(fā)送附加驗證因素所需的密鑰或設(shè)備，許多企業(yè)會轉(zhuǎn)而依靠更易受攻擊的MFA形式。其他情況下，黑客可以誘騙IT管理員重置MFA并注冊新設(shè)備。還有一些情況下，F(xiàn)IDO2合規(guī)的MFA不過是其中一種選擇，用戶仍然可以選用其他不那么安全的身份驗證形式。

Grover稱：“攻擊者很容易利用重置/備份機制?！?/p>

有時候，使用FIDO2合規(guī)的MFA的公司會依賴第三方來管理其網(wǎng)絡(luò)或執(zhí)行其他基本功能。如果第三方員工可以使用強度不高MFA形式訪問公司的網(wǎng)絡(luò)，那公司采用高強度MFA的好處就幾乎破壞殆盡了。

甚至公司全面采用基于FIDO2的MFA，Nobelium也能夠突破這種防護措施。不過，他們的MFA繞過方法只有在完全拿下目標(biāo)的Active Directory之后才有用。Active Directory是防護強度較高的一種數(shù)據(jù)庫工具，網(wǎng)絡(luò)管理員常用來創(chuàng)建、刪除和修改用戶賬戶，給賬戶分配授權(quán)資源的訪問權(quán)限。這種繞過方法超出了本文的討論范圍，因為一旦Active Directory被黑，基本就沒救了。

再次重申，任何形式的MFA都好過不用MFA。就算短信發(fā)送一次性密碼是唯一可用的MFA措施，這種措施再怎么錯漏和麻煩都比不用MFA要安全得多。本文中沒有任何一句話有MFA不值得擁有的意思。

但很明顯，僅靠MFA是不夠的，沒有哪家企業(yè)能單靠MFA構(gòu)筑完整防線。考慮到Cozy Bear的無限資源和一流技術(shù)，這家黑客組織能夠發(fā)現(xiàn)其中漏洞毫不令人意外。而隨著青少年都能使用相同的技術(shù)來入侵Nvidia、Okta和微軟等大公司，人們終于開始認(rèn)識到正確使用MFA的重要性。

著名網(wǎng)絡(luò)安全記者Brian Krebs在其創(chuàng)辦的KrebsOnSecurity上寫道：“盡管人們可能會將LAPSUS$視為不成熟的追名逐利的黑客團伙，但每位企業(yè)安全負(fù)責(zé)人都應(yīng)該關(guān)注其所用戰(zhàn)術(shù)。”

MFA消息轟炸或許不是那么新鮮，但已不再是企業(yè)可以忽視的安全問題。