多因素身份验证(MFA)继续体现企业IT安全实践中最好和最差的方面。正如Roger Grimes三年前关于双因素身份验证黑客攻击的的文章所言,MFA实现良好就是有效的,但只要IT经理一走捷径,MFA就形同虚设,可能造成灾难性后果。而且,尽管越来越多的公司逐渐采用各种MFA方法保护用户登录,其应用仍远未达到普及的程度。事实上,微软去年的调查发现,99.9%的被盗账户根本没有采用MFA,仅11%的企业账户受某种MFA方法的保护。
对MFA推广应用而言,新冠肺炎疫情即是推手也是阻碍。疫情彻底改变了诸多企业用户的日常计算模式,封城和远程办公潮为扩大MFA部署提供了机会——尽管同时也为黑客提供了新的网络钓鱼诱饵。
标普全球市场财智(S&P Global Market Intelligence)451 Research 高级研究分析师Garrett Bekker表示,由于太多人远程办公,部署MFA的企业数量从去年调查时的约一半提升到今年调查时的61%。然而,大多数企业的MFA应用仍然有限。不过,MFA已经成为企业今后的首要任务了,优先级比VPN还高。
最新版的威瑞森《数据泄露调查报告》中,美国特勤局网络入侵响应主管Bernard Wilson称:“疫情期间沦为网络攻击受害者的企业中,忽视MFA和虚拟专用网实现的企业占了大部分。”
除了新冠肺炎疫情,还有其他因素在推动MFA普及:
- 上个月,谷歌为所有用户账户启用MFA作为默认防护。Matt Tait(前英国政府通信总部分析师,现在Corellium工作)称此举措为“这十年最重要的网络安全改进之一”。
- 2020年6月,苹果宣布,9月随iOS 14和macOS Big Sur发售的Safari 14将支持FIDO2协议,加入Android和大多数其他主流浏览器行列。尽管需要仔细研究如何跨浏览器、不同操作系统版本和智能手机应用部署,但FIDO一直在进步。
- 美国总统拜登最近关于改善国家网络安全的行政令也在敦促部署MFA:“本行政令颁布之日起180天内,(行政)机构应对静态数据和传输中数据实施MFA和加密。”截止期限就落在2021年8月中旬。(当然,行政令中还包含很多其他内容。)
然而,最近的攻击和事件显示,在实现双因素和多因素身份验证方面,安全人员还有很多工作要做。恶意黑客掌握了多条利用MFA漏洞的途径。
攻击MFA的五种基本方法
(1) 基于短信的中间人攻击。
MFA需要解决的最大问题存在于其最常见的一种实现方式:通过短信发送一次性密码。
黑客很容易入侵用户智能手机,暂时将手机号分配到其控制的手机上。可以通过结合RSA SecureID硬件令牌和公共网络摄像头来利用这一弱点。尽管这种方式可能颇为极端,但短信入侵一直在损害MFA登录的总体可用性。
实现此类攻击的方法还有很多。其中一种是贿赂收买手机客服代理来重新分配手机号。另一种方式是利用商业服务获得手机账户访问权。只要支付16美元的服务费,黑客就可以从路由指定号码的所有短信,轻松拿下手机账户。
(2) 供应链攻击。
近期最臭名昭著的软件供应链攻击是SolarWinds攻击。该攻击致使各种各样的代码组件遭到感染,目标公司在毫无所觉的情况下就下载了带后门的组件。防止此类攻击的方法也很多,其中包括运行时源代码扫描。
正如Gartner分析师在2021年1月的一篇博客文章中所指出的,“注意,SolarWinds攻击之所以被发现,是因为一名警报安全人员想知道为什么某员工要用第二部手机注册多因子身份验证。这意味着攻击者的目标是利用身份作为攻击途径,尤其是MFA。”
此类攻击一直是个问题,今年4月Codecov的Bash Uploader工具中就发现了这样的问题。由于Docker镜像安全松懈,黑客成功篡改了身份验证凭据。该工具修改了代码中插入的环境变量,而想要追踪这一问题就得跟踪命令与控制服务器的目标IP地址。
(3) 利用被盗MFA绕过身份验证工作流。
Liferay DXP v7.3中MFA模块的拒绝服务漏洞是又一个MFA弱点例证。这个最近发现的漏洞可使任意注册用户通过修改用户一次性口令通过身份验证,造成目标用户无法登录。该漏洞现已修复。
(4) cookie传递攻击。
这种攻击利用浏览器cookie和在cookie中存储身份验证信息的网站。一开始,这种方法是为了方便用户,让用户可以保持应用登录状态。但如果黑客可以抽取这些数据,他们就能拿下你的账户。
(5) 服务器端伪造。
尽管不完全是MFA问题,但Hafnium或许是近年来最大的漏洞利用,利用了包括服务器端伪造和任意文件写入漏洞在内的一系列攻击,完全绕过了微软Exchange服务器的身份验证机制。该攻击涉及Exchange服务器存在的四个零日漏洞。微软为此发布了一系列补丁。
正确部署双因素身份验证
这些不过是著名漏洞利用案例中的一部分,表明我们需要恰当而安全地实现MFA。451 Research的Bekker称:“MFA实现不好就像戴了副廉价墨镜,根本起不到什么防护作用。而且,MFA未能在企业普及的最大问题,就是其糟糕的用户体验。”
他还指出了另一个问题,“MFA仍然是个二元选择,就好像夜总会的保安:一旦进入企业网络内部,你就可以为所欲为,没人会知道你到底在干什么。MFA如果要起到应有的作用,就必须配合零信任和持续的身份验证技术。”许多安全供应商如今将MFA与自适应身份验证产品结合到一起,但其实现过于复杂。
账户恢复选项也值得进一步讨论。很多企业为普通账户登录设置了牢固的MFA防护,但如果用户忘记了自己的口令,可以通过发送短信密码开启账户恢复过程。这就是黑客可以趁虚而入的地方了。
阿卡迈行业战略顾问Gerhard Giese在去年的一篇文章中指出了这一点,描述了MFA未必总能防止凭证填充的情况。他说,IT经理需要“重新审查自己的身份验证工作流和登录界面,确保攻击者不会通过查询Web服务器的响应来发现有效凭证,还应实现机器人管理解决方案,让攻击者没那么容易突破。”
今年年初的时候,美国计算机应急响应小组发布了关于潜在MFA漏洞的警报,其中提到了网络钓鱼和登录凭证暴力破解,还建议对包括账户恢复在内的所有身份验证活动实施MFA,以及改善特权访问的安全状况。
MFA技术应该成为企业安全关键基础设施的一部分。近期的攻击案例,以及来自政府和私营产业领域专家的敦促,应为MFA的明智实现提供更多动力。