微软表示,从2021年9月开始,已经有超过10,000个组织受到网络钓鱼攻击,攻击者会利用获得的受害者邮箱访问权进行后续的商业电子邮件破坏(BEC)攻击。攻击者使用登陆页面欺骗Office在线认证页面,从而绕过多因素认证(MFA),实现劫持Office 365认证的目的。
在这些钓鱼攻击中,潜在的受害者会收到一封使用HTML附件的钓鱼邮件,当目标点击时会被重定向到登陆页面,而HTML附件确保目标通过HTML重定向器发送。在窃取了目标的凭证和他们的会话Cookie后,这些攻击者会登录受害者的电子邮件账户,并使用受害者的访问权限进行针对其他组织的商业电子邮件泄露(BRC)活动。
Microsoft 365 Defender 研究团队和微软威胁情报中心(MSTIC)针对这一系列的钓鱼活动称:“该网络钓鱼活动使用中间人(AiTM)钓鱼网站窃取密码,劫持用户的登录会话,并跳过认证过程,即使用户已启用多因素认证(MFA)也难以防护。然后攻击者会利用窃取的凭证和会话cookies访问受影响用户的邮箱,并对其他目标进行后续的商业电子邮件破坏(BEC)活动。”
在这次大规模的网络钓鱼活动可以在几个开源网络钓鱼工具包的帮助下实现自动化,包括广泛使用的Evilginx2、Modlishka和Muraena。 该活动中使用的钓鱼网站作为反向代理,托管在网络服务器上,目的是通过两个独立的传输层安全(TLS)会话将目标的认证请求代理给他们试图登录的合法网站。
利用这种战术,攻击者的钓鱼页面充当中间人,拦截认证过程,然后从被劫持的HTTP请求中提取包括密码和更重要的会话Cookies等敏感信息。在攻击者得到目标的会话Cookie后,他们将其注入自己的网络浏览器,这使得他们可以规避MFA,实现认证过程的跳过。然后在针对其他组织的商业电子邮件泄露(BRC)活动中使用他们窃取的访问权限。
为了防御此类攻击,微软仍然建议用户使用 MFA并支持基于证书的认证和Fast ID Online (FIDO) v2.0。微软还建议用户监测可疑的登录尝试和邮箱活动,以及采取有条件的访问策略,以阻止攻击者试图使用来自不合规设备或不可信任的IP地址的被盗会话Cookies。
在微软的相关报告中指出虽然AiTM网络钓鱼试图规避MFA,但重要的是要强调MFA的实施仍然是身份安全的一个重要支柱,MFA在阻止各种威胁方面仍然非常有效,其有效性是AiTM网络钓鱼首先出现的原因。
消息来源:https://www.bleepingcomputer.com/news/security/microsoft-phishing-bypassed-mfa-in-attacks-against-10-000-orgs/