五種攻擊方法拿下雙因素驗(yàn)證

多因素身份驗(yàn)證(MFA)繼續(xù)體現(xiàn)企業(yè)IT安全實(shí)踐中最好和最差的方面。正如Roger Grimes三年前關(guān)于雙因素身份驗(yàn)證黑客攻擊的的文章所言，MFA實(shí)現(xiàn)良好就是有效的，但只要IT經(jīng)理一走捷徑，MFA就形同虛設(shè)，可能造成災(zāi)難性后果。而且，盡管越來(lái)越多的公司逐漸采用各種MFA方法保護(hù)用戶(hù)登錄，其應(yīng)用仍遠(yuǎn)未達(dá)到普及的程度。事實(shí)上，微軟去年的調(diào)查發(fā)現(xiàn)，99.9%的被盜賬戶(hù)根本沒(méi)有采用MFA，僅11%的企業(yè)賬戶(hù)受某種MFA方法的保護(hù)。

成都創(chuàng)新互聯(lián)公司專(zhuān)注于淮陽(yáng)企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè)公司,購(gòu)物商城網(wǎng)站建設(shè)?；搓?yáng)網(wǎng)站建設(shè)公司,為淮陽(yáng)等地區(qū)提供建站服務(wù)。全流程定制網(wǎng)站建設(shè)，專(zhuān)業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，成都創(chuàng)新互聯(lián)公司專(zhuān)業(yè)和態(tài)度為您提供的服務(wù)

對(duì)MFA推廣應(yīng)用而言，新冠肺炎疫情即是推手也是阻礙。疫情徹底改變了諸多企業(yè)用戶(hù)的日常計(jì)算模式，封城和遠(yuǎn)程辦公潮為擴(kuò)大MFA部署提供了機(jī)會(huì)——盡管同時(shí)也為黑客提供了新的網(wǎng)絡(luò)釣魚(yú)誘餌。

標(biāo)普全球市場(chǎng)財(cái)智(S&P Global Market Intelligence)451 Research 高級(jí)研究分析師Garrett Bekker表示，由于太多人遠(yuǎn)程辦公，部署MFA的企業(yè)數(shù)量從去年調(diào)查時(shí)的約一半提升到今年調(diào)查時(shí)的61%。然而，大多數(shù)企業(yè)的MFA應(yīng)用仍然有限。不過(guò)，MFA已經(jīng)成為企業(yè)今后的首要任務(wù)了，優(yōu)先級(jí)比VPN還高。

最新版的威瑞森《數(shù)據(jù)泄露調(diào)查報(bào)告》中，美國(guó)特勤局網(wǎng)絡(luò)入侵響應(yīng)主管Bernard Wilson稱(chēng)：“疫情期間淪為網(wǎng)絡(luò)攻擊受害者的企業(yè)中，忽視MFA和虛擬專(zhuān)用網(wǎng)實(shí)現(xiàn)的企業(yè)占了大部分?！?/p>

除了新冠肺炎疫情，還有其他因素在推動(dòng)MFA普及：

上個(gè)月，谷歌為所有用戶(hù)賬戶(hù)啟用MFA作為默認(rèn)防護(hù)。Matt Tait(前英國(guó)政府通信總部分析師，現(xiàn)在Corellium工作)稱(chēng)此舉措為“這十年最重要的網(wǎng)絡(luò)安全改進(jìn)之一”。 2020年6月，蘋(píng)果宣布，9月隨iOS 14和macOS Big Sur發(fā)售的Safari 14將支持FIDO2協(xié)議，加入Android和大多數(shù)其他主流瀏覽器行列。盡管需要仔細(xì)研究如何跨瀏覽器、不同操作系統(tǒng)版本和智能手機(jī)應(yīng)用部署，但FIDO一直在進(jìn)步。 美國(guó)總統(tǒng)拜登最近關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政令也在敦促部署MFA：“本行政令頒布之日起180天內(nèi)，(行政)機(jī)構(gòu)應(yīng)對(duì)靜態(tài)數(shù)據(jù)和傳輸中數(shù)據(jù)實(shí)施MFA和加密?！苯刂蛊谙蘧吐湓?021年8月中旬。(當(dāng)然，行政令中還包含很多其他內(nèi)容。)

然而，最近的攻擊和事件顯示，在實(shí)現(xiàn)雙因素和多因素身份驗(yàn)證方面，安全人員還有很多工作要做。惡意黑客掌握了多條利用MFA漏洞的途徑。

攻擊MFA的五種基本方法

(1) 基于短信的中間人攻擊。

MFA需要解決的最大問(wèn)題存在于其最常見(jiàn)的一種實(shí)現(xiàn)方式：通過(guò)短信發(fā)送一次性密碼。

黑客很容易入侵用戶(hù)智能手機(jī)，暫時(shí)將手機(jī)號(hào)分配到其控制的手機(jī)上。可以通過(guò)結(jié)合RSA SecureID硬件令牌和公共網(wǎng)絡(luò)攝像頭來(lái)利用這一弱點(diǎn)。盡管這種方式可能頗為極端，但短信入侵一直在損害MFA登錄的總體可用性。

實(shí)現(xiàn)此類(lèi)攻擊的方法還有很多。其中一種是賄賂收買(mǎi)手機(jī)客服代理來(lái)重新分配手機(jī)號(hào)。另一種方式是利用商業(yè)服務(wù)獲得手機(jī)賬戶(hù)訪(fǎng)問(wèn)權(quán)。只要支付16美元的服務(wù)費(fèi)，黑客就可以從路由指定號(hào)碼的所有短信，輕松拿下手機(jī)賬戶(hù)。

(2) 供應(yīng)鏈攻擊。

近期最臭名昭著的軟件供應(yīng)鏈攻擊是SolarWinds攻擊。該攻擊致使各種各樣的代碼組件遭到感染，目標(biāo)公司在毫無(wú)所覺(jué)的情況下就下載了帶后門(mén)的組件。防止此類(lèi)攻擊的方法也很多，其中包括運(yùn)行時(shí)源代碼掃描。

正如Gartner分析師在2021年1月的一篇博客文章中所指出的，“注意，SolarWinds攻擊之所以被發(fā)現(xiàn)，是因?yàn)橐幻瘓?bào)安全人員想知道為什么某員工要用第二部手機(jī)注冊(cè)多因子身份驗(yàn)證。這意味著攻擊者的目標(biāo)是利用身份作為攻擊途徑，尤其是MFA。”

此類(lèi)攻擊一直是個(gè)問(wèn)題，今年4月Codecov的Bash Uploader工具中就發(fā)現(xiàn)了這樣的問(wèn)題。由于Docker鏡像安全松懈，黑客成功篡改了身份驗(yàn)證憑據(jù)。該工具修改了代碼中插入的環(huán)境變量，而想要追蹤這一問(wèn)題就得跟蹤命令與控制服務(wù)器的目標(biāo)IP地址。

(3) 利用被盜MFA繞過(guò)身份驗(yàn)證工作流。

Liferay DXP v7.3中MFA模塊的拒絕服務(wù)漏洞是又一個(gè)MFA弱點(diǎn)例證。這個(gè)最近發(fā)現(xiàn)的漏洞可使任意注冊(cè)用戶(hù)通過(guò)修改用戶(hù)一次性口令通過(guò)身份驗(yàn)證，造成目標(biāo)用戶(hù)無(wú)法登錄。該漏洞現(xiàn)已修復(fù)。

(4) cookie傳遞攻擊。

這種攻擊利用瀏覽器cookie和在cookie中存儲(chǔ)身份驗(yàn)證信息的網(wǎng)站。一開(kāi)始，這種方法是為了方便用戶(hù)，讓用戶(hù)可以保持應(yīng)用登錄狀態(tài)。但如果黑客可以抽取這些數(shù)據(jù)，他們就能拿下你的賬戶(hù)。

(5) 服務(wù)器端偽造。

盡管不完全是MFA問(wèn)題，但Hafnium或許是近年來(lái)最大的漏洞利用，利用了包括服務(wù)器端偽造和任意文件寫(xiě)入漏洞在內(nèi)的一系列攻擊，完全繞過(guò)了微軟Exchange服務(wù)器的身份驗(yàn)證機(jī)制。該攻擊涉及Exchange服務(wù)器存在的四個(gè)零日漏洞。微軟為此發(fā)布了一系列補(bǔ)丁。

正確部署雙因素身份驗(yàn)證

這些不過(guò)是著名漏洞利用案例中的一部分，表明我們需要恰當(dāng)而安全地實(shí)現(xiàn)MFA。451 Research的Bekker稱(chēng)：“MFA實(shí)現(xiàn)不好就像戴了副廉價(jià)墨鏡，根本起不到什么防護(hù)作用。而且，MFA未能在企業(yè)普及的最大問(wèn)題，就是其糟糕的用戶(hù)體驗(yàn)。”

他還指出了另一個(gè)問(wèn)題，“MFA仍然是個(gè)二元選擇，就好像夜總會(huì)的保安：一旦進(jìn)入企業(yè)網(wǎng)絡(luò)內(nèi)部，你就可以為所欲為，沒(méi)人會(huì)知道你到底在干什么。MFA如果要起到應(yīng)有的作用，就必須配合零信任和持續(xù)的身份驗(yàn)證技術(shù)。”許多安全供應(yīng)商如今將MFA與自適應(yīng)身份驗(yàn)證產(chǎn)品結(jié)合到一起，但其實(shí)現(xiàn)過(guò)于復(fù)雜。

賬戶(hù)恢復(fù)選項(xiàng)也值得進(jìn)一步討論。很多企業(yè)為普通賬戶(hù)登錄設(shè)置了牢固的MFA防護(hù)，但如果用戶(hù)忘記了自己的口令，可以通過(guò)發(fā)送短信密碼開(kāi)啟賬戶(hù)恢復(fù)過(guò)程。這就是黑客可以趁虛而入的地方了。

阿卡邁行業(yè)戰(zhàn)略顧問(wèn)Gerhard Giese在去年的一篇文章中指出了這一點(diǎn)，描述了MFA未必總能防止憑證填充的情況。他說(shuō)，IT經(jīng)理需要“重新審查自己的身份驗(yàn)證工作流和登錄界面，確保攻擊者不會(huì)通過(guò)查詢(xún)Web服務(wù)器的響應(yīng)來(lái)發(fā)現(xiàn)有效憑證，還應(yīng)實(shí)現(xiàn)機(jī)器人管理解決方案，讓攻擊者沒(méi)那么容易突破?！?/p>

今年年初的時(shí)候，美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組發(fā)布了關(guān)于潛在MFA漏洞的警報(bào)，其中提到了網(wǎng)絡(luò)釣魚(yú)和登錄憑證暴力破解，還建議對(duì)包括賬戶(hù)恢復(fù)在內(nèi)的所有身份驗(yàn)證活動(dòng)實(shí)施MFA，以及改善特權(quán)訪(fǎng)問(wèn)的安全狀況。

MFA技術(shù)應(yīng)該成為企業(yè)安全關(guān)鍵基礎(chǔ)設(shè)施的一部分。近期的攻擊案例，以及來(lái)自政府和私營(yíng)產(chǎn)業(yè)領(lǐng)域?qū)＜业亩卮?，?yīng)為MFA的明智實(shí)現(xiàn)提供更多動(dòng)力。

本文名稱(chēng)：五種攻擊方法拿下雙因素驗(yàn)證
URL分享：http://muchs.cn/article26/dsjcg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供服務(wù)器托管、網(wǎng)站改版、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)、網(wǎng)頁(yè)設(shè)計(jì)公司、搜索引擎優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)