駭客組織找到一種巧妙的方法繞過目標網路的多因素身份認證

一夥為不法分子提供攻擊工具的駭客找到了一種非常巧妙的方法，能夠繞過目標網路的多因素身份驗證（MFA）系統。根據安全公司 Volexity 本週一釋出的博文，他們在 2019 年年末和 2020 年年初發現了這些攻擊者的蹤跡，並不少於 3 次利用該方法潛入某些機構內部。

在一次入侵期間，Volexity 的研究人員注意到駭客使用一種新穎技術繞過了 Duo 提供的 MFA 保護。在受感染的網路上獲得管理員特權後，駭客使用這些不受束縛的許可權從執行 Outlook Web App 的伺服器上竊取了名為 akey （企業為各種網路服務提供帳號身份驗證）的 Duo 機密。

然後，駭客使用 akey 生成 cookies。因此，當擁有正確使用者名稱和密碼的使用者登入之後，駭客就能透過 cookies 接管賬戶。Volexity 認為該方法是由駭客集團 Dark Halo 提供的。研究人員 Damien Cash，Matthew Meltzer，Sean Koessel，Steven Adair 和 Thomas Lancaster 寫道：

在 Volexity 對 Dark Halo 的第二次調查進入尾聲的時候，研究人員觀察到駭客透過 Outlook Web App 訪問了使用者的電子郵件賬戶。出於某些原因，這是完全意外的，最重要的原因是目標郵箱是受到 MFA 保護的。

來自Exchange伺服器的日誌顯示，攻擊者提供的使用者名稱和密碼身份驗證正常，但沒有透過Duo受到第二方面的挑戰。來自Duo身份驗證伺服器的日誌進一步表明，未嘗試登入到該帳戶。 Volexity能夠確認不涉及會話劫持，並且透過OWA伺服器的記憶體轉儲，還可以確認攻擊者提供了與名為duo-sid的Duo MFA會話繫結的cookie。

Volexity對這一事件的調查確定，攻擊者已從OWA伺服器訪問了Duo整合金鑰（akey）。然後，該金鑰使攻擊者可以得出在duo-sid cookie中設定的預先計算的值。成功進行密碼身份驗證後，伺服器評估了duo-sid cookie並確定其有效。

這使攻擊者知道使用者帳戶和密碼，然後完全繞過帳戶上設定的MFA。此事件強調了確保與金鑰整合關聯的所有機密（例如與MFA提供者的機密）在發生洩露後應進行更改的必要性。此外，重要的是，不僅要在違規後更改密碼，而且不要將密碼設定為與以前的密碼類似的內容（例如，Summer2020！vs Spring2020！或SillyGoo $ e3 vs SillyGoo $ e2）。