最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

骗子通过MFA绕过方案针对Office 365上的高级管理人员

网络安全 快米云 来源:快米云 41浏览

“广泛”活动寻找数百万美元的交易

针对使用 Microsoft Office 365 的 CEO 和 CFO 的企业电子邮件攻击方案将网络钓鱼与中间人攻击相结合,以击败多因素身份验证。

这些攻击利用了 Microsoft 365 设计监督,允许不法分子破坏启用了 MFA 的帐户,并通过添加一种新的、被破坏的身份验证方法允许他们随时返回,从而在受害者的系统中实现持久性。根据 Mitiga 安全研究人员的说法,他们显然发现了该活动和 Microsoft 365 漏洞。

“利用这种不受限制的访问,攻击者监控受害者的电子邮件帐户,直到即将发生重大交易,然后向攻击者控制的帐户发送请求更改目标银行帐户的欺诈性电子邮件,从而有效地窃取了这些资金, ”事件响应公司解释说,并补充说: 

该活动现在在互联网上广泛传播,目标是每笔高达数百万美元的大宗交易。

首先,受害者收到一封看似来自 DocuSign 的网络钓鱼电子邮件,甚至有一个合法的“docusign.net”地址。剧透警告:它被欺骗了。Mitiga 研究人员指出,微软确实将这封电子邮件标记为网络钓鱼尝试,但由于客户端环境中的配置错误,它并未被阻止。

虚假的 DocuSign 电子邮件包含一个“审查文档”链接,该链接将受害者引导至攻击者控制的服务器(这台服务器恰好在新加坡)。单击恶意链接后,该高管被要求使用其用户名和密码登录其 Microsoft 帐户,并在其多因素身份验证设备上收到授权登录的提示。 

实际上,用户名和密码已经被服务器收集并发送给微软,生成被接受的 MFA 授权请求,用户登录并生成会话 cookie,在从微软返回用户的途中被拦截并使用由中间的邪恶服务器。

安全研究人员写道,这部分攻击可能使用evilginx2 框架或类似的工具包进行 2FA 网络钓鱼,并指出微软此前曾警告过骗子使用这种中间人技术进行金融欺诈。

无论如何,不​​法分子在受害者和微软的后端系统之间建立了一个代理,以获得必要的凭据和 MFA 请求以伪装成标记。

根据分析,“受害者会在他们的 MFA 设备上收到一个真正的 MFA 请求”。“在批准请求后,微软服务器返回一个有效的会话 cookie,攻击者可以嗅探该 cookie,然后可以使用它来承担受害者的会话,而无需重新输入密码或批准 MFA 请求。”

此时,不法分子可以使用会话 cookie 登录并开始窥探受害者的 Office 365 环境,扫描 Outlook 电子邮件和 SharePoint 文件。他们正在寻找任何可以表明即将进行的交易的东西——消息、合同等——以最终摆脱金融欺诈。

此外,在窃取受害者的凭据后,恶意网站会将受害者重定向到虚假的 DocuSign 错误页面,希望受害者不会意识到他们陷入了网络钓鱼并触发任何安全缓解措施。 

这也意味着被盗的会话 cookie 仍然有效,攻击者可以在 365 环境中建立持久性。

如前所述,犯罪分子利用365 MFA 中的设计缺陷来维持持久性,这使他们能够在受害者不知情的情况下添加新的身份验证器应用程序连接到受感染用户的个人资料。

Mitiga 表示已与微软取得联系,但尚未收到回复。由于这不是漏洞,因此无需进行初步披露。

存在此问题的原因是,一旦会话通过 MFA 获得授权,Microsoft 在 MFA 令牌期间不需要新的 MFA 质询。

因此,在令牌的持续时间内,用户(或攻击者,在这种情况下)可以访问和更改帐户配置文件的安全信息部分中的用户身份验证方法,并添加一个在他们自己控制下的身份验证器应用程序而无需触发一个新的 MFA 挑战。 

这意味着一旦帐户被盗,即使是极短的时间,也可以使用这种技术创建持久性

“这意味着一旦帐户被盗,即使是在极短的时间内,也可以使用这种技术创建持久性,因此攻击者可以在会话到期或被撤销时重新使用 MFA 进行身份验证,”研究人员说。 

“重要的是要注意,即使组织将严格的 MFA 到期时间设置为一天,它仍然不会阻止使用这种技术的攻击者 [创建令牌]。”

微软的一位发言人拒绝回答我们关于 Mitiga 研究的问题,而是给了我们这样一份罐头声明:

“注意 AitM 网络钓鱼很重要,我们建议用户养成良好的在线计算习惯,包括在单击网页链接、打开未知文件或接受文件传输时要小心。我们建议客户使用 Azure AD 条件访问为允许的风险级别、位置、设备合规性和其他要求设置特定规则,以防止对手注册新的信用。

“在可能的情况下,我们还建议使用 Windows Hello 或 FIDO 等防网络钓鱼凭据。为了帮助保护客户免受此类攻击,Authenticator 提供上下文信息以警告用户他们的位置不熟悉或应用程序不熟悉“这是他们所期待的。我们一直在寻找新的方法来更好地抵御网络钓鱼,以帮助确保客户的安全。”

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 骗子通过MFA绕过方案针对Office 365上的高级管理人员