多因素身份验证(MFA)是防止账户接管的最有效核心防御措施之一。除了要求提供用户名和密码,MFA还要求用户必须使用额外的验证因素:指纹、物理安全密钥,或者一次性密码;否则就不能登录账户。本文中的任何内容都不应解读为在说MFA不重要。
也就是说,某些形式的MFA比其他形式更为强大。而最近发生的安全事件表明,强度较低的MFA对一些黑客而言不过是小菜一碟,很轻松就能绕过。过去几个月以来,Lapsus$数据勒索团伙这样的脚本小子群体和俄罗斯菁英黑客国家队(比如SolarWinds软件供应链安全事件背后的黑客组织Cozy Bear)都成功击败了MFA防护措施。
MFA消息轰炸
最强大的几种MFA形式基于名为FIDO2的框架,这是由多家主流公司结成的联盟所开发的一个框架,旨在平衡安全和使用简单性。借助这个框架,用户可以选择使用内置于其设备中的指纹读取器或摄像头,或者专用安全密钥,来确认自己有权访问某个账户。基于FIDO2的MFA形式相对较新,所以普通消费者和大型企业使用的很多服务都尚未采纳此类MFA。
这些服务使用的是不那么强大的老旧MFA形式。其中包括通过短信发送或由Google Authenticator等移动应用生成的一次性密码,或者发送到移动设备的推送消息。在登录时,除了有效密码,用户还必须在登录界面输入一次性密码,或者按一下手机屏上显示的按钮。
最近的报道揭示,就是这最后一种身份验证形式会被攻击者绕过。安全公司Mandiant表示,俄罗斯对外情报局麾下精英黑客团队Cozy Bear(亦称Nobelium、APT29和Dukes)就在使用这一技术。
Mandiant研究人员写道:“很多MFA提供商允许用户接受手机应用推送通知或接听电话,然后按个按键,以此作为第二个验证因素。Nobelium黑客组织利用这一点,向最终用户的合法设备发出多个MFA请求,直到用户接受身份验证,最终获得对其账户的访问权限。”
最近几个月入侵微软、Okta Nvidia的黑客团伙Lapsus$也使用了该技术。
一名Lapsus$成员在该团伙的官方Telegram频道上写道:“拨打次数毫无限制。在员工想要睡觉的凌晨1点给他打100次电话,他很可能会接听。一旦接听,你就可以访问MFA注册门户,注册另一台设备。”
这位Lapsus$成员声称,MFA消息轰炸技术可以攻破微软的防护。本周早些时候,微软表示一名员工的笔记本电脑遭Lapsus$黑客组织登录。
这个人写道:“甚至微软都拦不住我们!我们能够同时从德国和美国登录微软员工的VPN,他们甚至都没注意到。我们还能重新注册MFA两次。”
Mike Grover为安全专业人士提供红队黑客工具,同时也是一名红队顾问,Twitter用户名为_MG_。他向媒体透露,这种MFA绕过技术“从根本上说是呈现多种形式的一种方法:诱骗用户接受MFA请求。‘MFA轰炸’迅速成了个描述词,但这个词忽略了更为隐蔽的多种方法。”
这些方法包括:
- 发送大量MFA请求,寄希望于目标用户烦不胜烦而最终接受。
- 每天发送一两条MFA消息。这种方法通常不怎么引起注意,但“仍然很有可能诱使目标用户接受MFA请求”。
- 给目标用户打电话,装作是公司一员,告诉目标用户说按公司流程需要发送一条MFA请求。
Grover称:“这些仅仅是举个例子,要知道,密集轰炸可不是唯一的形式。”
在Twitter帖子中,他写道:“红队早几年就这么干了,各种玩法都试过。有幸拥有红队的公司都得益于此。但现实世界中的攻击者改进这种攻击方法的速度超过了大多数公司的防御措施改善速度。”
其他研究人员很快指出,MFA消息轰炸技术不是什么新鲜事物。
红队专业人士Greg Linares就发推表示:“Lapsus$可没发明‘MFA消息轰炸’。别再给他们冠上‘MFA消息轰炸创造者’的名号了。现实世界里,这种攻击方法早在Lapsus$闯出名号前2年就有人用了。”
干得漂亮!FIDO
如前文所述,基于FIDO2的MFA形式不容易受到MFA消息轰炸的影响,因为此类MFA形式与用户登录站点时所用的实体机器有关。换句话说,身份验证过程必须在登录设备上进行。一台设备上进行的身份验证无法赋予另一台设备访问权限。
但这并不意味着使用FIDO2合规的MFA就对消息轰炸免疫。采用此类MFA形式的用户中总有一定比例的人会遗失他们的密钥,手机掉马桶里,或者搞坏自己笔记本电脑的指纹读取器。
企业必须有应急措施来处理这些不可避免的事件。如果员工丢失发送附加验证因素所需的密钥或设备,许多企业会转而依靠更易受攻击的MFA形式。其他情况下,黑客可以诱骗IT管理员重置MFA并注册新设备。还有一些情况下,FIDO2合规的MFA不过是其中一种选择,用户仍然可以选用其他不那么安全的身份验证形式。
Grover称:“攻击者很容易利用重置/备份机制。”
有时候,使用FIDO2合规的MFA的公司会依赖第三方来管理其网络或执行其他基本功能。如果第三方员工可以使用强度不高MFA形式访问公司的网络,那公司采用高强度MFA的好处就几乎破坏殆尽了。
甚至公司全面采用基于FIDO2的MFA,Nobelium也能够突破这种防护措施。不过,他们的MFA绕过方法只有在完全拿下目标的Active Directory之后才有用。Active Directory是防护强度较高的一种数据库工具,网络管理员常用来创建、删除和修改用户账户,给账户分配授权资源的访问权限。这种绕过方法超出了本文的讨论范围,因为一旦Active Directory被黑,基本就没救了。
再次重申,任何形式的MFA都好过不用MFA。就算短信发送一次性密码是唯一可用的MFA措施,这种措施再怎么错漏和麻烦都比不用MFA要安全得多。本文中没有任何一句话有MFA不值得拥有的意思。
但很明显,仅靠MFA是不够的,没有哪家企业能单靠MFA构筑完整防线。考虑到Cozy Bear的无限资源和一流技术,这家黑客组织能够发现其中漏洞毫不令人意外。而随着青少年都能使用相同的技术来入侵Nvidia、Okta和微软等大公司,人们终于开始认识到正确使用MFA的重要性。
著名网络安全记者Brian Krebs在其创办的KrebsOnSecurity上写道:“尽管人们可能会将LAPSUS$视为不成熟的追名逐利的黑客团伙,但每位企业安全负责人都应该关注其所用战术。”
MFA消息轰炸或许不是那么新鲜,但已不再是企业可以忽视的安全问题。