多因素身份驗證岌岌可危

多因素身份驗證（MFA）是防止賬戶接管的最有效核心防御措施之一。除了要求提供用戶名和密碼，MFA還要求用戶必須使用額外的驗證因素：指紋、物理安全密鑰，或者一次性密碼；否則就不能登錄賬戶。本文中的任何內容都不應解讀為在說MFA不重要。

也就是說，某些形式的MFA比其他形式更為強大。而最近發生的安全事件表明，強度較低的MFA對一些黑客而言不過是小菜一碟，很輕松就能繞過。過去幾個月以來，Lapsus$數據勒索團伙這樣的腳本小子群體和俄羅斯菁英黑客國家隊（比如SolarWinds軟件供應鏈安全事件背后的黑客組織Cozy Bear）都成功擊敗了MFA防護措施。

MFA消息轟炸

最強大的幾種MFA形式基于名為FIDO2的框架，這是由多家主流公司結成的聯盟所開發的一個框架，旨在平衡安全和使用簡單性。借助這個框架，用戶可以選擇使用內置于其設備中的指紋讀取器或攝像頭，或者專用安全密鑰，來確認自己有權訪問某個賬戶。基于FIDO2的MFA形式相對較新，所以普通消費者和大型企業使用的很多服務都尚未采納此類MFA。

這些服務使用的是不那么強大的老舊MFA形式。其中包括通過短信發送或由Google Authenticator等移動應用生成的一次性密碼，或者發送到移動設備的推送消息。在登錄時，除了有效密碼，用戶還必須在登錄界面輸入一次性密碼，或者按一下手機屏上顯示的按鈕。

最近的報道揭示，就是這最后一種身份驗證形式會被攻擊者繞過。安全公司Mandiant表示，俄羅斯對外情報局麾下精英黑客團隊Cozy Bear（亦稱Nobelium、APT29和Dukes）就在使用這一技術。

Mandiant研究人員寫道：“很多MFA提供商允許用戶接受手機應用推送通知或接聽電話，然后按個按鍵，以此作為第二個驗證因素。Nobelium黑客組織利用這一點，向最終用戶的合法設備發出多個MFA請求，直到用戶接受身份驗證，最終獲得對其賬戶的訪問權限。”

最近幾個月入侵微軟、Okta Nvidia的黑客團伙Lapsus$也使用了該技術。

一名Lapsus$成員在該團伙的官方Telegram頻道上寫道：“撥打次數毫無限制。在員工想要睡覺的凌晨1點給他打100次電話，他很可能會接聽。一旦接聽，你就可以訪問MFA注冊門戶，注冊另一臺設備。”

這位Lapsus$成員聲稱，MFA消息轟炸技術可以攻破微軟的防護。本周早些時候，微軟表示一名員工的筆記本電腦遭Lapsus$黑客組織登錄。

這個人寫道：“甚至微軟都攔不住我們！我們能夠同時從德國和美國登錄微軟員工的VPN，他們甚至都沒注意到。我們還能重新注冊MFA兩次。”

Mike Grover為安全專業人士提供紅隊黑客工具，同時也是一名紅隊顧問，Twitter用戶名為_MG_。他向媒體透露，這種MFA繞過技術“從根本上說是呈現多種形式的一種方法：誘騙用戶接受MFA請求。‘MFA轟炸’迅速成了個描述詞，但這個詞忽略了更為隱蔽的多種方法。”

這些方法包括：

• 發送大量MFA請求，寄希望于目標用戶煩不勝煩而最終接受。
• 每天發送一兩條MFA消息。這種方法通常不怎么引起注意，但“仍然很有可能誘使目標用戶接受MFA請求”。
• 給目標用戶打電話，裝作是公司一員，告訴目標用戶說按公司流程需要發送一條MFA請求。

Grover稱：“這些僅僅是舉個例子，要知道，密集轟炸可不是唯一的形式。”

在Twitter帖子中，他寫道：“紅隊早幾年就這么干了，各種玩法都試過。有幸擁有紅隊的公司都得益于此。但現實世界中的攻擊者改進這種攻擊方法的速度超過了大多數公司的防御措施改善速度。”

其他研究人員很快指出，MFA消息轟炸技術不是什么新鮮事物。

紅隊專業人士Greg Linares就發推表示：“Lapsus$可沒發明‘MFA消息轟炸’。別再給他們冠上‘MFA消息轟炸創造者’的名號了。現實世界里，這種攻擊方法早在Lapsus$闖出名號前2年就有人用了。”

干得漂亮！FIDO

如前文所述，基于FIDO2的MFA形式不容易受到MFA消息轟炸的影響，因為此類MFA形式與用戶登錄站點時所用的實體機器有關。換句話說，身份驗證過程必須在登錄設備上進行。一臺設備上進行的身份驗證無法賦予另一臺設備訪問權限。

但這并不意味著使用FIDO2合規的MFA就對消息轟炸免疫。采用此類MFA形式的用戶中總有一定比例的人會遺失他們的密鑰，手機掉馬桶里，或者搞壞自己筆記本電腦的指紋讀取器。

企業必須有應急措施來處理這些不可避免的事件。如果員工丟失發送附加驗證因素所需的密鑰或設備，許多企業會轉而依靠更易受攻擊的MFA形式。其他情況下，黑客可以誘騙IT管理員重置MFA并注冊新設備。還有一些情況下，FIDO2合規的MFA不過是其中一種選擇，用戶仍然可以選用其他不那么安全的身份驗證形式。

Grover稱：“攻擊者很容易利用重置/備份機制。”

有時候，使用FIDO2合規的MFA的公司會依賴第三方來管理其網絡或執行其他基本功能。如果第三方員工可以使用強度不高MFA形式訪問公司的網絡，那公司采用高強度MFA的好處就幾乎破壞殆盡了。

甚至公司全面采用基于FIDO2的MFA，Nobelium也能夠突破這種防護措施。不過，他們的MFA繞過方法只有在完全拿下目標的Active Directory之后才有用。Active Directory是防護強度較高的一種數據庫工具，網絡管理員常用來創建、刪除和修改用戶賬戶，給賬戶分配授權資源的訪問權限。這種繞過方法超出了本文的討論范圍，因為一旦Active Directory被黑，基本就沒救了。

再次重申，任何形式的MFA都好過不用MFA。就算短信發送一次性密碼是唯一可用的MFA措施，這種措施再怎么錯漏和麻煩都比不用MFA要安全得多。本文中沒有任何一句話有MFA不值得擁有的意思。

但很明顯，僅靠MFA是不夠的，沒有哪家企業能單靠MFA構筑完整防線。考慮到Cozy Bear的無限資源和一流技術，這家黑客組織能夠發現其中漏洞毫不令人意外。而隨著青少年都能使用相同的技術來入侵Nvidia、Okta和微軟等大公司，人們終于開始認識到正確使用MFA的重要性。

上周，著名網絡安全記者Brian Krebs在其創辦的KrebsOnSecurity上寫道：“盡管人們可能會將LAPSUS$視為不成熟的追名逐利的黑客團伙，但每位企業安全負責人都應該關注其所用戰術。”

MFA消息轟炸或許不是那么新鮮，但已不再是企業可以忽視的安全問題。