作者rtyujlk (BCSYSOP各30篇R神)
看板AntiVirus
標題[情報] 駭客繞過多因素驗證駭入雲端系統帳號
時間Fri Jan 15 07:54:48 2021
駭客繞過多因素驗證駭入雲端系統帳號,可能和SolarWinds攻擊有關
https://www.ithome.com.tw/news/142230
美國CISA發現一起網路攻擊事件,攻擊者利用釣魚信件誘使用戶下載惡意程式,或以暴力
破解帳號進入受害者網路後,成功登入一個具有多因素驗證(MFA)保護的帳號。CISA相
信,攻擊者可能是在用戶電腦上,以竊密程式取得瀏覽器的cookie,以繞過MFA的防護
https://i.imgur.com/TL18Tyf.jpg
美國CISA近日經手一件網路攻擊案例,除了採取常見的網釣信、暴力破解帳號變更,可能
也使用名為「傳送cookie(pass the cookie)」的手法,成功登入一名具有多因素驗證
(MFA)保護的帳號。Pass the cookie手法是指,攻擊者利用竊取來的連線cookie來驗證
、登入到Web應用或服務。由於連線已經過驗證,使攻擊者可繞過某些MFA協定。(示意圖
,圖片來源/Johann Rehberger, Pivot to the Cloud using Pass the Cookie, https:
//c3lt.de/35c3/talk/CK3DWH/)
新聞
駭客繞過多因素驗證駭入雲端系統帳號,可能和SolarWinds攻擊有關
美國CISA發現一起網路攻擊事件,攻擊者利用釣魚信件誘使用戶下載惡意程式,或以暴力
破解帳號進入受害者網路後,成功登入一個具有多因素驗證(MFA)保護的帳號。CISA相
信,攻擊者可能是在用戶電腦上,以竊密程式取得瀏覽器的cookie,以繞過MFA的防護
按讚加入iThome粉絲團
文/林妍溱 | 2021-01-14發表
美國CISA近日經手一件網路攻擊案例,除了採取常見的網釣信、暴力破解帳號變更,可能
也使用名為「傳送cookie(pass the cookie)」的手法,成功登入一名具有多因素驗證
(MFA)保護的帳號。Pass the cookie手法是指,攻擊者利用竊取來的連線cookie來驗證
、登入到Web應用或服務。由於連線已經過驗證,使攻擊者可繞過某些MFA協定。(示意圖
,圖片來源/Johann Rehberger, Pivot to the Cloud using Pass the Cookie, https:
//c3lt.de/35c3/talk/CK3DWH/)
美國網路安全暨基礎架構管理局(Cybersecurity and Infrastructure Security Agency
,CISA)本周警告,駭客發展出成功繞過多因素驗證(multi-factor authentication,M
FA)來駭入用戶雲端服務的攻擊手法。
CISA近日經手一件網路攻擊案例,攻擊者使用了多種攻擊策略和手法,除了常見的釣魚信
件、暴力破解帳號變更,可能也使用一種名為「傳送cookie(pass the cookie)」的手
法,以駭入受害者單位的雲端系統。
CISA解釋攻擊者在利用釣魚信件誘使用戶下載惡意程式,或以暴力破解帳號進入受害者網
路後進行後續攻擊。後續攻擊包括成功登入一個具有多因素驗證(MFA)保護的帳號。CIS
A相信,攻擊者可能是在用戶電腦上,以竊密程式取得瀏覽器的cookie,以繞過MFA的防護
。另外,攻擊者也變更受害者現有郵件的轉寄規則,將重要信件轉寄到駭客控制的帳號,
或是轉到駭客設立的RSS資料夾中以免被發現。
Pass the cookie手法是指,攻擊者利用竊取來的連線cookie來驗證、登入到Web應用或服
務。由於連線已經過驗證,使攻擊者可繞過某些MFA協定。
雖然CISA未指這受害者為何,不過可能是指本周雲端郵件安全服務商Mimecast。Mimecast
昨(13)日向用戶發佈安全公告,該公司發給客戶以Mimecast雲端系統,包括Sync and R
ecover、Continuity Monitor及Internal Email Protect登入Microsoft 365 Exchange W
eb Services的憑證,遭到駭客竊取。亦即攻擊者可繞過Exchange Web Service的MFA驗證
竊取、劫持用戶MS365 Exchange的信件。
Mimecast建議用戶立即刪除連向Microsoft 365驗證過的連線,並以新憑證重新建立連線
。
Mimecast表示在其3.6萬家客戶中,有約10%使用了受影響的連線,雖然該公司相信遭到鎖
定的企業用戶家數為個位數。
路透社引述三名進行調查的消息人士報導,Mimecast攻擊者可能和SolarWinds駭客為同一
批人,後者更波及多個美國政府單位,包括商務部、財政部及國土安全部等。
美國政府單位包括FBI、CISA都懷疑這批駭客和俄羅斯政府有關,不過俄羅斯政府否認這
個說法。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.41.226.158 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1610668490.A.F07.html