Windows Active Directory中的短信验证漏洞-VPS资讯_海外云服务器资讯_海外服务器资讯

Specops 短信

Microsoft 长期以来一直建议客户启用多重身份验证 (MFA)，以更好地保护 Active Directory 和 Azure AD 帐户。

如果没有 MFA，任何有权访问有效用户名和密码的人都可以登录用户帐户。MFA 至少增加了一项额外要求，因此仅凭密码不足以访问用户帐户。

MFA 有许多不同的形式，但最常见的 MFA 技术之一是将一次性使用代码发送到用户的智能手机，然后要求用户输入该代码作为身份验证过程的一部分。

虽然短信的使用大大有助于保护组织免受网络犯罪分子试图使用被盗密码作为获取帐户访问权限的方式，但基于短信的 MFA 也有其自身的漏洞。

这些漏洞源于与短信相关的普遍缺乏安全性，最近的 Twillo 黑客攻击证明了这一点。当几名 Twillo 员工回复欺诈性短信时，发生了这种黑客行为，这些短信将他们引导到虚假网站，并要求他们重置密码。结果是这些员工的账户被盗用了。

Twillo 黑客造成的更大问题是加密消息服务提供商 Signal 使用 Twillo 的服务进行电话号码验证。结果是1900 Signal 用户的账户被盗。

虽然攻击者无法访问这些用户之前的任何 Signal 通信，但至少发生了一起事件，其中 Signal 用户的帐户被重新注册到不同的设备。

Twillo 黑客攻击和随后针对130 名其他 Twillo 客户的攻击说明了与恶意短信相关的一些危险。然而，当涉及到 MFA 时，组织必须考虑一些额外的危险。

使用文本消息作为 MFA 机制的问题在于，它假定只有接收者才能访问要发送身份验证代码的物理设备。虽然这种假设最明显的问题是设备一直被偷走，但可以想象，设备锁定码可以防止小偷访问所有者的短信。

然而，更大的问题是攻击者可以使用恶意软件甚至 SIM 卡交换来将短信重定向到另一台设备。

想象一下，攻击者设法用恶意软件感染了用户的移动设备，并且该恶意软件已向攻击者泄露了用户的 Active Directory 用户名和密码。

在这种情况下，我们还假设恶意软件正在将所有用户文本消息的副本转发到攻击者的设备。这意味着攻击者可以使用被盗的凭据启动登录过程。

此时，Active Directory 环境将向用户的移动设备发送一次性使用代码。但是，由于攻击者也收到了代码，因此他们将拥有以用户身份登录所需的一切。

尽管存在与短信相关的漏洞，但 MFA 仍然是确保帐户安全的重要工具。

但是，组织必须寻找解决与基于测试的 MFA 相关的漏洞的方法，方法是从 2FA（双因素身份验证，即凭证和短信）升级到两种或多种验证方法的多因素身份验证。

Specops 的Secure Service Desk产品在这方面做得非常出色。当用户联系服务台请求重置密码时，用户需要使用 MFA 来证明其身份。

事实上，帮助用户的技术人员实际上无法重置用户的密码，直到用户的身份得到肯定识别（这可以保护组织免受最常见的凭证盗窃形式之一）。

尽管 Specops Secure Service Desk 确实支持使用通过 SMS 文本消息发送到用户设备的代码，但还有其他验证方法可以代替或与此代码结合使用。

例如，组织可能使用 Duo Security、Okta、PingID、生物识别或 Symantec VIP 作为额外的身份验证服务。

默认使用“机器人”（或软件，在这种情况下），而不是依赖帮助台员工的最终用户验证，将人为错误元素从最终用户验证过程中排除。

此外，将基于文本的验证与其他选项相结合，使 MFA 成为真正的“多”因素——通过第二道防线降低潜在的文本黑客威胁风险。