微軟表示，從2021年9月開始，已經(jīng)有超過10,000個(gè)組織受到網(wǎng)絡(luò)釣魚攻擊，攻擊者會(huì)利用獲得的受害者郵箱訪問權(quán)進(jìn)行后續(xù)的商業(yè)電子郵件破壞（BEC）攻擊。攻擊者使用登陸頁面欺騙Office在線認(rèn)證頁面，從而繞過多因素認(rèn)證（MFA），實(shí)現(xiàn)劫持Office 365認(rèn)證的目的。

在這些釣魚攻擊中，潛在的受害者會(huì)收到一封使用HTML附件的釣魚郵件，當(dāng)目標(biāo)點(diǎn)擊時(shí)會(huì)被重定向到登陸頁面，而HTML附件確保目標(biāo)通過HTML重定向器發(fā)送。在竊取了目標(biāo)的憑證和他們的會(huì)話Cookie后，這些攻擊者會(huì)登錄受害者的電子郵件賬戶，并使用受害者的訪問權(quán)限進(jìn)行針對(duì)其他組織的商業(yè)電子郵件泄露（BRC）活動(dòng)。

Microsoft 365 Defender 研究團(tuán)隊(duì)和微軟威脅情報(bào)中心（MSTIC）針對(duì)這一系列的釣魚活動(dòng)稱：“該網(wǎng)絡(luò)釣魚活動(dòng)使用中間人（AiTM）釣魚網(wǎng)站竊取密碼，劫持用戶的登錄會(huì)話，并跳過認(rèn)證過程，即使用戶已啟用多因素認(rèn)證（MFA）也難以防護(hù)。然后攻擊者會(huì)利用竊取的憑證和會(huì)話cookies訪問受影響用戶的郵箱，并對(duì)其他目標(biāo)進(jìn)行后續(xù)的商業(yè)電子郵件破壞（BEC）活動(dòng)。”

在這次大規(guī)模的網(wǎng)絡(luò)釣魚活動(dòng)可以在幾個(gè)開源網(wǎng)絡(luò)釣魚工具包的幫助下實(shí)現(xiàn)自動(dòng)化，包括廣泛使用的Evilginx2、Modlishka和Muraena。 該活動(dòng)中使用的釣魚網(wǎng)站作為反向代理，托管在網(wǎng)絡(luò)服務(wù)器上，目的是通過兩個(gè)獨(dú)立的傳輸層安全（TLS）會(huì)話將目標(biāo)的認(rèn)證請(qǐng)求代理給他們?cè)噲D登錄的合法網(wǎng)站。

利用這種戰(zhàn)術(shù)，攻擊者的釣魚頁面充當(dāng)中間人，攔截認(rèn)證過程，然后從被劫持的HTTP請(qǐng)求中提取包括密碼和更重要的會(huì)話Cookies等敏感信息。在攻擊者得到目標(biāo)的會(huì)話Cookie后，他們將其注入自己的網(wǎng)絡(luò)瀏覽器，這使得他們可以規(guī)避MFA，實(shí)現(xiàn)認(rèn)證過程的跳過。然后在針對(duì)其他組織的商業(yè)電子郵件泄露（BRC）活動(dòng)中使用他們竊取的訪問權(quán)限。

為了防御此類攻擊，微軟仍然建議用戶使用 MFA并支持基于證書的認(rèn)證和Fast ID Online (FIDO) v2.0。微軟還建議用戶監(jiān)測(cè)可疑的登錄嘗試和郵箱活動(dòng)，以及采取有條件的訪問策略，以阻止攻擊者試圖使用來自不合規(guī)設(shè)備或不可信任的IP地址的被盜會(huì)話Cookies。

在微軟的相關(guān)報(bào)告中指出雖然AiTM網(wǎng)絡(luò)釣魚試圖規(guī)避MFA，但重要的是要強(qiáng)調(diào)MFA的實(shí)施仍然是身份安全的一個(gè)重要支柱，MFA在阻止各種威脅方面仍然非常有效，其有效性是AiTM網(wǎng)絡(luò)釣魚首先出現(xiàn)的原因。

消息來源：https://www.bleepingcomputer.com/news/security/microsoft-phishing-bypassed-mfa-in-attacks-against-10-000-orgs/