美國網絡安全暨基礎架構管理局(Cybersecurity and Infrastructure Security Agency,CISA)本周警告,黑客發展出成功繞過多因素驗證(multi-factor authentication,MFA)來黑入用戶雲計算服務的攻擊手法。
CISA近日經手一件網絡攻擊案例,攻擊者使用了多種攻擊策略和手法,除了常見的釣魚信件、暴力破解帳號變更,可能也使用一種名為「發送cookie(pass the cookie)」的手法,以黑入受害者單位的雲計算系統。
CISA解釋攻擊者在利用釣魚信件誘使用戶下載惡意程序,或以暴力破解帳號進入受害者網絡後進行後續攻擊。後續攻擊包括成功登錄一個具有多因素驗證(MFA)保護的帳號。CISA相信,攻擊者可能是在用戶計算機上,以竊密程序取得瀏覽器的cookie,以繞過MFA的防護。另外,攻擊者也變更受害者現有郵件的轉發規則,將重要信件轉發到黑客控制的帳號,或是轉到黑客設立的RSS文件夾中以免被發現。
Pass the cookie手法是指,攻擊者利用竊取來的連接cookie來驗證、登錄到Web應用或服務。由於連接已經過驗證,使攻擊者可繞過某些MFA協議。
雖然CISA未指這受害者為何,不過可能是指本周雲計算郵件安全服務商Mimecast。Mimecast昨(13)日向用戶發布安全公告,該公司發給客戶以Mimecast雲計算系統,包括Sync and Recover、Continuity Monitor及Internal Email Protect登錄Microsoft 365 Exchange Web Services的憑證,遭到黑客竊取。也即攻擊者可繞過Exchange Web Service的MFA驗證竊取、劫持用戶MS365 Exchange的信件。
Mimecast建議用戶立即刪除連向Microsoft 365驗證過的連接,並以新憑證重新創建連接。
Mimecast表示在其3.6萬家客戶中,有約10%使用了受影響的連接,雖然該公司相信遭到鎖定的企業用戶家數為個位數。
路透社引述三名進行調查的消息人士報導,Mimecast攻擊者可能和SolarWinds黑客為同一批人,後者更波及多個美國政府單位,包括商務部、財政部及國土安全部等。
美國政府單位包括FBI、CISA都懷疑這批黑客和俄羅斯政府有關,不過俄羅斯政府否認這個說法。