作者rtyujlk (BCSYSOP各30篇R神)
看板AntiVirus
标题[情报] 骇客绕过多因素验证骇入云端系统帐号
时间Fri Jan 15 07:54:48 2021
骇客绕过多因素验证骇入云端系统帐号,可能和SolarWinds攻击有关
https://www.ithome.com.tw/news/142230
美国CISA发现一起网路攻击事件,攻击者利用钓鱼信件诱使用户下载恶意程式,或以暴力
破解帐号进入受害者网路後,成功登入一个具有多因素验证(MFA)保护的帐号。CISA相
信,攻击者可能是在用户电脑上,以窃密程式取得浏览器的cookie,以绕过MFA的防护
https://i.imgur.com/TL18Tyf.jpg
美国CISA近日经手一件网路攻击案例,除了采取常见的网钓信、暴力破解帐号变更,可能
也使用名为「传送cookie(pass the cookie)」的手法,成功登入一名具有多因素验证
(MFA)保护的帐号。Pass the cookie手法是指,攻击者利用窃取来的连线cookie来验证
、登入到Web应用或服务。由於连线已经过验证,使攻击者可绕过某些MFA协定。(示意图
,图片来源/Johann Rehberger, Pivot to the Cloud using Pass the Cookie, https:
//c3lt.de/35c3/talk/CK3DWH/)
新闻
骇客绕过多因素验证骇入云端系统帐号,可能和SolarWinds攻击有关
美国CISA发现一起网路攻击事件,攻击者利用钓鱼信件诱使用户下载恶意程式,或以暴力
破解帐号进入受害者网路後,成功登入一个具有多因素验证(MFA)保护的帐号。CISA相
信,攻击者可能是在用户电脑上,以窃密程式取得浏览器的cookie,以绕过MFA的防护
按赞加入iThome粉丝团
文/林妍溱 | 2021-01-14发表
美国CISA近日经手一件网路攻击案例,除了采取常见的网钓信、暴力破解帐号变更,可能
也使用名为「传送cookie(pass the cookie)」的手法,成功登入一名具有多因素验证
(MFA)保护的帐号。Pass the cookie手法是指,攻击者利用窃取来的连线cookie来验证
、登入到Web应用或服务。由於连线已经过验证,使攻击者可绕过某些MFA协定。(示意图
,图片来源/Johann Rehberger, Pivot to the Cloud using Pass the Cookie, https:
//c3lt.de/35c3/talk/CK3DWH/)
美国网路安全暨基础架构管理局(Cybersecurity and Infrastructure Security Agency
,CISA)本周警告,骇客发展出成功绕过多因素验证(multi-factor authentication,M
FA)来骇入用户云端服务的攻击手法。
CISA近日经手一件网路攻击案例,攻击者使用了多种攻击策略和手法,除了常见的钓鱼信
件、暴力破解帐号变更,可能也使用一种名为「传送cookie(pass the cookie)」的手
法,以骇入受害者单位的云端系统。
CISA解释攻击者在利用钓鱼信件诱使用户下载恶意程式,或以暴力破解帐号进入受害者网
路後进行後续攻击。後续攻击包括成功登入一个具有多因素验证(MFA)保护的帐号。CIS
A相信,攻击者可能是在用户电脑上,以窃密程式取得浏览器的cookie,以绕过MFA的防护
。另外,攻击者也变更受害者现有邮件的转寄规则,将重要信件转寄到骇客控制的帐号,
或是转到骇客设立的RSS资料夹中以免被发现。
Pass the cookie手法是指,攻击者利用窃取来的连线cookie来验证、登入到Web应用或服
务。由於连线已经过验证,使攻击者可绕过某些MFA协定。
虽然CISA未指这受害者为何,不过可能是指本周云端邮件安全服务商Mimecast。Mimecast
昨(13)日向用户发布安全公告,该公司发给客户以Mimecast云端系统,包括Sync and R
ecover、Continuity Monitor及Internal Email Protect登入Microsoft 365 Exchange W
eb Services的凭证,遭到骇客窃取。亦即攻击者可绕过Exchange Web Service的MFA验证
窃取、劫持用户MS365 Exchange的信件。
Mimecast建议用户立即删除连向Microsoft 365验证过的连线,并以新凭证重新建立连线
。
Mimecast表示在其3.6万家客户中,有约10%使用了受影响的连线,虽然该公司相信遭到锁
定的企业用户家数为个位数。
路透社引述三名进行调查的消息人士报导,Mimecast攻击者可能和SolarWinds骇客为同一
批人,後者更波及多个美国政府单位,包括商务部、财政部及国土安全部等。
美国政府单位包括FBI、CISA都怀疑这批骇客和俄罗斯政府有关,不过俄罗斯政府否认这
个说法。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.41.226.158 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1610668490.A.F07.html