[情報] 駭客繞過多因素驗證駭入雲端系統帳號

看板AntiVirus (防毒)作者rtyujlk (BCSYSOP各30篇R神)時間5年前 (2021/01/15 07:54)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

駭客繞過多因素驗證駭入雲端系統帳號，可能和SolarWinds攻擊有關 https://www.ithome.com.tw/news/142230 美國CISA發現一起網路攻擊事件，攻擊者利用釣魚信件誘使用戶下載惡意程式，或以暴力破解帳號進入受害者網路後，成功登入一個具有多因素驗證（MFA）保護的帳號。CISA相信，攻擊者可能是在用戶電腦上，以竊密程式取得瀏覽器的cookie，以繞過MFA的防護 https://i.imgur.com/TL18Tyf.jpg

美國CISA近日經手一件網路攻擊案例，除了採取常見的網釣信、暴力破解帳號變更，可能也使用名為「傳送cookie（pass the cookie）」的手法，成功登入一名具有多因素驗證（MFA）保護的帳號。Pass the cookie手法是指，攻擊者利用竊取來的連線cookie來驗證、登入到Web應用或服務。由於連線已經過驗證，使攻擊者可繞過某些MFA協定。（示意圖，圖片來源／Johann Rehberger, Pivot to the Cloud using Pass the Cookie, https: //c3lt.de/35c3/talk/CK3DWH/）新聞駭客繞過多因素驗證駭入雲端系統帳號，可能和SolarWinds攻擊有關美國CISA發現一起網路攻擊事件，攻擊者利用釣魚信件誘使用戶下載惡意程式，或以暴力破解帳號進入受害者網路後，成功登入一個具有多因素驗證（MFA）保護的帳號。CISA相信，攻擊者可能是在用戶電腦上，以竊密程式取得瀏覽器的cookie，以繞過MFA的防護按讚加入iThome粉絲團文/林妍溱 | 2021-01-14發表美國CISA近日經手一件網路攻擊案例，除了採取常見的網釣信、暴力破解帳號變更，可能也使用名為「傳送cookie（pass the cookie）」的手法，成功登入一名具有多因素驗證（MFA）保護的帳號。Pass the cookie手法是指，攻擊者利用竊取來的連線cookie來驗證、登入到Web應用或服務。由於連線已經過驗證，使攻擊者可繞過某些MFA協定。（示意圖，圖片來源／Johann Rehberger, Pivot to the Cloud using Pass the Cookie, https: //c3lt.de/35c3/talk/CK3DWH/）美國網路安全暨基礎架構管理局（Cybersecurity and Infrastructure Security Agency ，CISA）本周警告，駭客發展出成功繞過多因素驗證（multi-factor authentication，M FA）來駭入用戶雲端服務的攻擊手法。 CISA近日經手一件網路攻擊案例，攻擊者使用了多種攻擊策略和手法，除了常見的釣魚信件、暴力破解帳號變更，可能也使用一種名為「傳送cookie（pass the cookie）」的手法，以駭入受害者單位的雲端系統。 CISA解釋攻擊者在利用釣魚信件誘使用戶下載惡意程式，或以暴力破解帳號進入受害者網路後進行後續攻擊。後續攻擊包括成功登入一個具有多因素驗證（MFA）保護的帳號。CIS A相信，攻擊者可能是在用戶電腦上，以竊密程式取得瀏覽器的cookie，以繞過MFA的防護。另外，攻擊者也變更受害者現有郵件的轉寄規則，將重要信件轉寄到駭客控制的帳號，或是轉到駭客設立的RSS資料夾中以免被發現。 Pass the cookie手法是指，攻擊者利用竊取來的連線cookie來驗證、登入到Web應用或服務。由於連線已經過驗證，使攻擊者可繞過某些MFA協定。雖然CISA未指這受害者為何，不過可能是指本周雲端郵件安全服務商Mimecast。Mimecast 昨（13）日向用戶發佈安全公告，該公司發給客戶以Mimecast雲端系統，包括Sync and R ecover、Continuity Monitor及Internal Email Protect登入Microsoft 365 Exchange W eb Services的憑證，遭到駭客竊取。亦即攻擊者可繞過Exchange Web Service的MFA驗證竊取、劫持用戶MS365 Exchange的信件。 Mimecast建議用戶立即刪除連向Microsoft 365驗證過的連線，並以新憑證重新建立連線。 Mimecast表示在其3.6萬家客戶中，有約10%使用了受影響的連線，雖然該公司相信遭到鎖定的企業用戶家數為個位數。路透社引述三名進行調查的消息人士報導，Mimecast攻擊者可能和SolarWinds駭客為同一批人，後者更波及多個美國政府單位，包括商務部、財政部及國土安全部等。美國政府單位包括FBI、CISA都懷疑這批駭客和俄羅斯政府有關，不過俄羅斯政府否認這個說法。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.41.226.158 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1610668490.A.F07.html