美联储警告:黑客正在绕过MFA进行云计算攻击
美联储警告称,网络犯罪分子通过绕过多因素认证(MFA),从而成功的攻击了美国多家机构的云服务。
根据网络安全和基础设施安全局(CISA)周三发布的警报,最近有 "几起成功地入侵云端设施的网络攻击 "。根据该机构的说法,大多数攻击都是利用了网络配置错误等漏洞来进行的攻击。
警报概述:"这种类型的攻击经常在员工使用公司笔记本电脑和个人设备访问云服务时发生,尽管机构使用了安全工具,但是被攻击的组织的网络环境通常是非常薄弱的,使得黑客能够很容易地进行攻击。"
例如,在一个案例中,一个组织不需要使用虚拟专用网络来让员工远程访问公司网络。
CISA解释说:"虽然他们的服务器位于公司的防火墙内,但由于目前远程办公的需要,为了让员工远程访问它,他们将服务器的80端口对外开放, 这样就很容易使该组织受到网络攻击"
该机构还指出,网络钓鱼和 "cookie传递 "攻击是进行云端攻击的主要攻击方式。
网络钓鱼和绕过MFA
在网络钓鱼攻击方面,目标通常会收到含有恶意链接的电子邮件。有的电子邮件会伪装成文件托管服务的警报。在这两种情况下,恶意链接都会跳转到一个钓鱼页面,并要求他们提供账户登录凭证。网络犯罪分子因此获得了登录云端服务的权限。
根据警报:"CISA观察到攻击者的登录地在国外(尽管攻击者可能使用代理或The Onion Router(Tor)来伪造他们的位置),然后,攻击者会使用组织的帐户,给用户发送钓鱼邮件进行攻击。在某些情况下,这些电子邮件中还含有该组织的文件托管服务的文件链接。"
与此同时,攻击者已经能够利用 "传递cookie "攻击来绕过MFA。浏览器的cookie用于存储用户的认证信息,这样可以使网站保持用户的登录状态。在满足MFA验证的条件后,认证信息会被存储在cookie中,因此用户之后就不会再被提示进行MFA检查。
因此,如果攻击者使用了正确的cookie,他们就可以在一个浏览器会话中被认证为合法用户,从而绕过所有的MFA检查。正如Stealthbits在最近的一篇文章中所解释的那样,攻击者需要欺骗用户点击钓鱼邮件等方式来入侵用户的系统,然后使用一个很简单的命令就可以从机器上提取相应的cookie。
KnowBe4的数据驱动防御架构师Roger Grimes通过电子邮件表示:"需要注意的是,如果企业不了解MFA的漏洞和黑客绕过认证的方法,那么企业还不如不使用它,如果你认为使用MFA可以使企业更加安全 (事实并非如此),那么你的防御措施可能会不堪一击。但如果你了解MFA是如何被攻击的,并且把这些和MFA的用户以及它的系统设计者来分享,你的云服务就更加安全。关键是要意识到,一切都可能会被黑客攻击。MFA并不是一种特殊的、神奇的防御措施,任何黑客都无法攻破。相反,围绕MFA进行网络安全意识培训是非常重要的,因为也只有这样,组织的云服务才会更加安全。"
转发规则的利用
CISA表示,它还观察到攻击者在入侵成功后,通过利用电子邮件转发规则来收集敏感信息。
转发规则允许用户将工作邮件发送到他们自己的电子邮件账户中,这个功能对于远程办公人员来说是一个非常有用的功能。
CISA表示,它已经观察到攻击者通过修改用户账户上的电子邮件规则,从而将电子邮件重定向到攻击者自己控制的账户上。
据该机构称:"攻击者还修改了现有的规则,搜索用户的电子邮件信息(主题和正文),寻找与金融相关的关键字,然后将电子邮件转发到攻击者的账户上,为了防止用户看到警告信息,攻击者还创建了新的邮箱规则,将用户收到的某些邮件(特别是带有某些钓鱼相关关键词的邮件)转发到合法用户的RSS Feeds或RSS订阅文件夹中。
云安全
在当前社会发展的趋势下,云端应用在未来一年内会加速发展,软件即服务、云托管存储将推动这一趋势的发展。Rebyc的一项研究发现,35%的受访公司表示,他们计划在2021年将 工作内容向云端进行迁移。
相应地,云端应用和云端环境也越来越受到攻击者的关注。例如,在12月份,美国国家安全局发布警告称,攻击者已经研发出了利用企业内部网络访问漏洞来入侵云端的技术。
该警告写道:"网络攻击者正在利用联合认证环境中的漏洞来访问受保护的数据,这种攻击一般发生在攻击者获得对受害者内部网络的访问权限之后。攻击者利用企业内部的访问权限来破坏资源访问权的授予机制,或者破坏具有云资源管理能力的管理员的凭证。"
本文翻译自:https://threatpost.com/cloud-attacks-bypass-mfa-feds/163056/
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Google在其Android应用商店中封杀了Parler程序
Google已在其Play商店(适用于Android)中封杀了右翼社交媒体应用Parler。 谷歌在致Ars的一份声明中说,它正在执行一项长期政策,即要求社交媒体应用删除“包括煽动暴力等不当内容的帖子”。 谷歌发言人对Ars说: 我们知道在Parler应用程序中仍然有人在继续发布一些内容不当的帖子,他们试图在美国煽动持续不断的暴力行为,鉴于这一持续和紧急的公共安全威胁,我们将暂停从Play商店购买该应用,直到这些问题得到解决为止。 虽然谷歌没有说明具体是哪些“帖子煽动暴力”,一个合理的猜测是,这些帖子与周三在美国国会大厦发生的骚乱有关,这次骚乱中断了国会对拜登当选总统的认证。骚乱发生前,唐纳德·特朗普总统在白宫附近举行了集会,并敦促其支持者在国会大厦附近游行。 相关人士指出,Parler上的此类帖子美化了星期三的暴力事件,并承诺在未来几天内还会有进一步的行动。 Google的Parler禁令发布之时,主流社交媒体网站已经禁止了一些著名的右翼人士。上周五,推特对特朗普总统和前同伙迈克尔·弗林和西德尼·鲍威尔实施禁言。当天,Reddit暂停了其最受欢迎的特朗普支持者专区。 各大社交媒体网站...
- 下一篇
隐私搜索引擎DuckDuckGo流量暴增62%
隐私保护搜索引擎DuckDuckGo一月份搜索查询首次突破亿次大关,呈现爆发式增长。 DuckDuckGo是一个以隐私保护为卖点的搜索引擎,其搜索索引主要有三个来源:DuckDuckBot爬虫、WikiPedia索引以及Bing等搜索引擎合作伙伴,值得注意的是,DuckDuckGo搜索引擎不使用任何来自Google的数据。(编者:Google也是少数,如果不是唯一,对虚拟专用网极其不友好的搜索引擎) 使DuckDuckGo脱颖而出的原因在于,它们不会跟踪您的搜索痕迹来建立用户个人资料或与第三方公司(包括广告网络)共享任何个人或识别数据。 “每次在DuckDuckGo上进行搜索时,您的搜索历史记录都是一片空白,每一次,都像是第一次。”DuckDuckGo在其博客中解释道。 根据DuckDuckGo提供的数据,2020年DuckDuckGo的平均日搜索量增长了62%。截至2021年1月,DuckDuckGo平均每天收到9000万个搜索查询。 2021年1月11日,DuckDuckGo每天收到102,251,307条搜索查询请求,创下该搜索引擎的新记录。 DuckDuckGo的快速增长得益于...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- Hadoop3单机部署,实现最简伪集群
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装