由于遠程辦公的激增以及對云服務(wù)和基礎(chǔ)設(shè)施的日益依賴導(dǎo)致了新的企業(yè)訪問安全挑戰(zhàn)。對于許多組織而言�����,多因素身份驗證(MFA)成為“必備”安全控制手段��,以幫助防止憑據(jù)盜竊,同時對關(guān)鍵資產(chǎn)進行分段以使攻擊者更難實現(xiàn)目標(biāo)���。
據(jù)報道��,微軟追蹤的99.9%的受感染賬戶不使用MFA����。谷歌發(fā)現(xiàn)即使是基本的雙因素身份驗證方法(例如通過蜂窩網(wǎng)絡(luò)生成一次性密碼的短信)���,也可以阻止100%的自動攻擊���、96%的批量網(wǎng)絡(luò)釣魚攻擊和四分之三的針對性攻擊。
MFA應(yīng)被視為基礎(chǔ)安全控制�����,是分層和整體零信任策略的一部分��。如果設(shè)計或?qū)嵤┎徽_���,MFA基礎(chǔ)設(shè)施可能會受到損害并用于攻擊鏈�����。隨著攻擊者不斷創(chuàng)新�����,他們正在尋找新的��、創(chuàng)造性的方法來瞄準(zhǔn)MFA并繞過這些關(guān)鍵的安全控制�。
自2020年以來,來自世界的MFA繞過對抗性模擬請求激增�。威脅行為者用來規(guī)避MFA控制的四種主要攻擊媒介:架構(gòu)和設(shè)計缺陷、不安全的通道���、側(cè)通道攻擊和攻擊面覆蓋不足���。
1、操縱架構(gòu)和設(shè)計缺陷
許多組織使用MFA部署單點登錄(SSO)以降低與憑證盜竊相關(guān)的風(fēng)險����。
在最近的一次安全事件中,一家大型全球組織使用第三方MFA提供商來保護其VPN訪問��。一旦連接到VPN�����,遠程用戶將使用SSO訪問各種云服務(wù)����。然而,在我們的測試過程中����,我們發(fā)現(xiàn)當(dāng)用戶從VPN范圍內(nèi)的受信任IP登錄時,他們只會在獲得訪問任何云服務(wù)之前被提示輸入他們的域憑據(jù)�。
這揭示了一個基本的架構(gòu)缺陷:MFA僅適用于基于基礎(chǔ)設(shè)施的訪問,而不適用于訪問關(guān)鍵資產(chǎn)的個人用戶身份�。這使得MFA控制變得無用,使組織容易受到單因素攻擊����。通過簡單地破壞用戶的工作站并獲得對該機器上安裝的軟令牌應(yīng)用程序的訪問權(quán)限,就可以登錄VPN����,使用任何其他單一用戶密碼輕松切換用戶,并訪問從管理者電子郵件到全能云的所有內(nèi)容控制臺�����。
多因素身份驗證(MFA)繞過技術(shù)揭示
通過入侵“Bob”的工作站并獲得對他的軟令牌應(yīng)用程序(安裝在他的機器上)的訪問權(quán)限,我們可以使用Bob的令牌代表他訪問VPN���。登錄后��,我們將使用“Alice的”密碼來切換用戶����。
2��、利用不安全的令牌載入流程
在某次攻防活動中����,活動的目標(biāo)是進入受MFA代幣保護的組織的敏感工業(yè)網(wǎng)絡(luò)。在獲得了對IT網(wǎng)絡(luò)的初始訪問權(quán)限���,并開始查看用戶電子郵件��,很快就注意到初始入職流程的一些奇怪之處�。新用戶將收到一封電子郵件���,其中包含他們需要單擊的URL�����,以便將手機的MFA軟令牌與公司MFA服務(wù)器中的用戶身份配對��。
不幸的是�,該鏈接還包含用戶MFA令牌的加密種子���,換句話說��,用于生成令牌的主要加密密鑰信息���。好消息是種子受到PIN碼的保護。
有了電子郵件��,就可以訪問這些加密種子�,并且只需要PIN碼和時間戳來創(chuàng)建重復(fù)的MFA令牌并代表用戶生成需要的OTP代碼。通過簡單測試發(fā)現(xiàn)�,每一粒種子都受到一個簡單的四位數(shù)代碼的保護,可以在幾秒鐘內(nèi)破解����。這樣就能夠?qū)M織中的任何MFA代幣進行暴力破解,并隨意復(fù)制任何用戶的MFA代幣����,完全訪問和控制工業(yè)網(wǎng)絡(luò)����。
通過暴力破解組織中任何MFA令牌的加密種子并根據(jù)需要復(fù)制任何用戶的MFA令牌���,可獲得對工業(yè)網(wǎng)絡(luò)的訪問權(quán)限�。
3���、身份驗證后攻擊瀏覽器Cookie
針對瀏覽器cookie的后MFA身份驗證攻擊正在成為攻擊者的模擬攻擊方法����,因為它們可以在滿足某些條件后遠程執(zhí)行��。
對于這種攻擊�,主要目標(biāo)是濫用或竊取客戶端會話cookie,這些cookie在最終用戶的瀏覽器上進行身份驗證后設(shè)置��。例如����,一旦您使用您的憑據(jù)和MFA令牌登錄到Mail,您就會收到以加密方式存儲在瀏覽器中的會話cookie�。這些cookie會隨對Mail子域的每個請求一起發(fā)送,因此您不必在每次關(guān)閉瀏覽器時都重新登錄Mail�。
在Windows系統(tǒng)上����,這些cookie使用稱為數(shù)據(jù)保護應(yīng)用程序編程接口(簡稱DPAPI)的加密接口進行加密���。本質(zhì)上����,DPAPI允許用戶進行單個API調(diào)用來加密或解密數(shù)據(jù)塊�����,而無需本地管理員權(quán)限����。在任何加入域的環(huán)境中�����,都存在一個域范圍的備份密鑰�����,可以解密整個域中的任何DPAPI加密的blob���。更重要的是����,一旦創(chuàng)建了這個備份密鑰,它就永遠不會輪換��。
由于DPAPI是為用戶上下文中的應(yīng)用程序而設(shè)計的����,因此通過調(diào)用一個簡單的Windows API,可以很容易地使用他們自己的憑據(jù)來解密用戶的瀏覽器cookie和密碼���。通過獲得域密鑰的訪問權(quán)限���,就可以在域中的每個用戶和機器上遠程擴展攻擊。
多因素身份驗證(MFA)繞過技術(shù)揭示
圖3
所上圖3所示�����,使用數(shù)據(jù)保護應(yīng)用程序編程接口(DPAPI)���,我們可以使用用戶自己的憑據(jù)解密用戶的瀏覽器cookie和密碼����。
4、通過輔助渠道瞄準(zhǔn)關(guān)鍵資產(chǎn)
當(dāng)可以通過多個渠道訪問資源時���,組織通常會錯過保護輔助渠道�����。在一些攻防實踐期間經(jīng)常會發(fā)現(xiàn)這些問題��。
在這種特殊情況下�����,組織為管理員設(shè)置了MFA,以通過遠程桌面協(xié)議(RDP)訪問某些關(guān)鍵服務(wù)器��。當(dāng)特權(quán)用戶使用RDP登錄到服務(wù)器時����,Windows操作系統(tǒng)將調(diào)用作為單獨模塊安裝的MFA提供程序。用戶將在他們的手機上收到推送通知�,并且需要驗證登錄嘗試。一旦他們批準(zhǔn)了請求�����,用戶將被授予通過RDP對服務(wù)器的交互式訪問權(quán)限。
這意味著�����,如果攻擊者要獲取服務(wù)器的管理員用戶名和密碼�,他們?nèi)詫o法通過RDP訪問服務(wù)器,這是個好消息�����。但是RDP只是服務(wù)器上的一個入站接口�。其他渠道呢?在Active Directory(AD)環(huán)境中�,默認啟用遠程管理端口;服務(wù)器消息塊(SMB)和遠程過程調(diào)用(RPC)等其他協(xié)議可以使用PsExec�����、Powershell和其他直接COM對象等工具進行訪問�。這些協(xié)議不受第二個因素的影響,因為大多數(shù)MFA模塊不涵蓋非交互式通信��。攻擊者只需使用用戶名和密碼即可登錄并訪問服務(wù)器����。
總結(jié)
毫無疑問��,MFA是關(guān)鍵安全機制�。需要在多層身份安全控制的上下文中考慮MFA���,包括強大的特權(quán)訪問控制����,如會話隔離和憑據(jù)管理����。就像安全的任何方面一樣,設(shè)計也很重要�。執(zhí)行很重要。最重要的是�����,運營安全很重要��。您的安全取決于您最薄弱的環(huán)節(jié)
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
