美聯(lián)儲警告稱，網(wǎng)絡犯罪分子通過繞過多因素認證（MFA），從而成功的攻擊了美國多家機構的云服務。

根據(jù)網(wǎng)絡安全和基礎設施安全局（CISA）周三發(fā)布的警報，最近有 “幾起成功地入侵云端設施的網(wǎng)絡攻擊 ”。根據(jù)該機構的說法，大多數(shù)攻擊都是利用了網(wǎng)絡配置錯誤等漏洞來進行的攻擊。

警報概述：“這種類型的攻擊經(jīng)常在員工使用公司筆記本電腦和個人設備訪問云服務時發(fā)生，盡管機構使用了安全工具，但是被攻擊的組織的網(wǎng)絡環(huán)境通常是非常薄弱的，使得黑客能夠很容易地進行攻擊。”

例如，在一個案例中，一個組織不需要使用虛擬專用網(wǎng)絡來讓員工遠程訪問公司網(wǎng)絡。

CISA解釋說：“雖然他們的服務器位于公司的防火墻內(nèi)，但由于目前遠程辦公的需要，為了讓員工遠程訪問它，他們將服務器的80端口對外開放， 這樣就很容易使該組織受到網(wǎng)絡攻擊”

該機構還指出，網(wǎng)絡釣魚和 “cookie傳遞 ”攻擊是進行云端攻擊的主要攻擊方式。

網(wǎng)絡釣魚和繞過MFA

在網(wǎng)絡釣魚攻擊方面，目標通常會收到含有惡意鏈接的電子郵件。有的電子郵件會偽裝成文件托管服務的警報。在這兩種情況下，惡意鏈接都會跳轉(zhuǎn)到一個釣魚頁面，并要求他們提供賬戶登錄憑證。網(wǎng)絡犯罪分子因此獲得了登錄云端服務的權限。

根據(jù)警報：“CISA觀察到攻擊者的登錄地在國外（盡管攻擊者可能使用代理或The Onion Router（Tor）來偽造他們的位置），然后，攻擊者會使用組織的帳戶，給用戶發(fā)送釣魚郵件進行攻擊。在某些情況下，這些電子郵件中還含有該組織的文件托管服務的文件鏈接?！?/p>

與此同時，攻擊者已經(jīng)能夠利用 “傳遞cookie ”攻擊來繞過MFA。瀏覽器的cookie用于存儲用戶的認證信息，這樣可以使網(wǎng)站保持用戶的登錄狀態(tài)。在滿足MFA驗證的條件后，認證信息會被存儲在cookie中，因此用戶之后就不會再被提示進行MFA檢查。

因此，如果攻擊者使用了正確的cookie，他們就可以在一個瀏覽器會話中被認證為合法用戶，從而繞過所有的MFA檢查。正如Stealthbits在最近的一篇文章中所解釋的那樣，攻擊者需要欺騙用戶點擊釣魚郵件等方式來入侵用戶的系統(tǒng)，然后使用一個很簡單的命令就可以從機器上提取相應的cookie。

KnowBe4的數(shù)據(jù)驅(qū)動防御架構師Roger Grimes通過電子郵件表示：“需要注意的是，如果企業(yè)不了解MFA的漏洞和黑客繞過認證的方法，那么企業(yè)還不如不使用它，如果你認為使用MFA可以使企業(yè)更加安全 （事實并非如此），那么你的防御措施可能會不堪一擊。但如果你了解MFA是如何被攻擊的，并且把這些和MFA的用戶以及它的系統(tǒng)設計者來分享，你的云服務就更加安全。關鍵是要意識到，一切都可能會被黑客攻擊。MFA并不是一種特殊的、神奇的防御措施，任何黑客都無法攻破。相反，圍繞MFA進行網(wǎng)絡安全意識培訓是非常重要的，因為也只有這樣，組織的云服務才會更加安全。”

轉(zhuǎn)發(fā)規(guī)則的利用

CISA表示，它還觀察到攻擊者在入侵成功后，通過利用電子郵件轉(zhuǎn)發(fā)規(guī)則來收集敏感信息。

轉(zhuǎn)發(fā)規(guī)則允許用戶將工作郵件發(fā)送到他們自己的電子郵件賬戶中，這個功能對于遠程辦公人員來說是一個非常有用的功能。

CISA表示，它已經(jīng)觀察到攻擊者通過修改用戶賬戶上的電子郵件規(guī)則，從而將電子郵件重定向到攻擊者自己控制的賬戶上。

據(jù)該機構稱：“攻擊者還修改了現(xiàn)有的規(guī)則，搜索用戶的電子郵件信息（主題和正文），尋找與金融相關的關鍵字，然后將電子郵件轉(zhuǎn)發(fā)到攻擊者的賬戶上，為了防止用戶看到警告信息，攻擊者還創(chuàng)建了新的郵箱規(guī)則，將用戶收到的某些郵件（特別是帶有某些釣魚相關關鍵詞的郵件）轉(zhuǎn)發(fā)到合法用戶的RSS Feeds或RSS訂閱文件夾中。

云安全

在當前社會發(fā)展的趨勢下，云端應用在未來一年內(nèi)會加速發(fā)展，軟件即服務、云托管存儲將推動這一趨勢的發(fā)展。Rebyc的一項研究發(fā)現(xiàn)，35%的受訪公司表示，他們計劃在2021年將 工作內(nèi)容向云端進行遷移。

相應地，云端應用和云端環(huán)境也越來越受到攻擊者的關注。例如，在12月份，美國國家安全局發(fā)布警告稱，攻擊者已經(jīng)研發(fā)出了利用企業(yè)內(nèi)部網(wǎng)絡訪問漏洞來入侵云端的技術。

該警告寫道：”網(wǎng)絡攻擊者正在利用聯(lián)合認證環(huán)境中的漏洞來訪問受保護的數(shù)據(jù)，這種攻擊一般發(fā)生在攻擊者獲得對受害者內(nèi)部網(wǎng)絡的訪問權限之后。攻擊者利用企業(yè)內(nèi)部的訪問權限來破壞資源訪問權的授予機制，或者破壞具有云資源管理能力的管理員的憑證?！?br /> 責編AJX