五種攻擊方法拿下雙因素驗證

多因素身份驗證（MFA）繼續體現企業IT安全實踐中最好和最差的方面。正如Roger Grimes三年前關于雙因素身份驗證黑客攻擊的的文章所言，MFA實現良好就是有效的，但只要IT經理一走捷徑，MFA就形同虛設，可能造成災難性后果。而且，盡管越來越多的公司逐漸采用各種MFA方法保護用戶登錄，其應用仍遠未達到普及的程度。事實上，微軟去年的調查發現，99.9%的被盜賬戶根本沒有采用MFA，僅11%的企業賬戶受某種MFA方法的保護。

對MFA推廣應用而言，新冠肺炎疫情即是推手也是阻礙。疫情徹底改變了諸多企業用戶的日常計算模式，封城和遠程辦公潮為擴大MFA部署提供了機會——盡管同時也為黑客提供了新的網絡釣魚誘餌。

標普全球市場財智（S&P Global Market Intelligence）451 Research 高級研究分析師Garrett Bekker表示，由于太多人遠程辦公，部署MFA的企業數量從去年調查時的約一半提升到今年調查時的61%。然而，大多數企業的MFA應用仍然有限。不過，MFA已經成為企業今后的首要任務了，優先級比VPN還高。

最新版的威瑞森《數據泄露調查報告》中，美國特勤局網絡入侵響應主管Bernard Wilson稱：“疫情期間淪為網絡攻擊受害者的企業中，忽視MFA和虛擬專用網實現的企業占了大部分。”

除了新冠肺炎疫情，還有其他因素在推動MFA普及：

· 上個月，谷歌為所有用戶賬戶啟用MFA作為默認防護。Matt Tait（前英國政府通信總部分析師，現在Corellium工作）稱此舉措為“這十年最重要的網絡安全改進之一”。

· 2020年6月，蘋果宣布，9月隨iOS 14和macOS Big Sur發售的Safari 14將支持FIDO2協議，加入Android和大多數其他主流瀏覽器行列。盡管需要仔細研究如何跨瀏覽器、不同操作系統版本和智能手機應用部署，但FIDO一直在進步。

· 美國總統拜登最近關于改善國家網絡安全的行政令也在敦促部署MFA：“本行政令頒布之日起180天內，（行政）機構應對靜態數據和傳輸中數據實施MFA和加密。”截止期限就落在2021年8月中旬。（當然，行政令中還包含很多其他內容。）

然而，最近的攻擊和事件顯示，在實現雙因素和多因素身份驗證方面，安全人員還有很多工作要做。惡意黑客掌握了多條利用MFA漏洞的途徑。

攻擊MFA的五種基本方法

基于短信的中間人攻擊。MFA需要解決的最大問題存在于其最常見的一種實現方式：通過短信發送一次性密碼。

黑客很容易入侵用戶智能手機，暫時將手機號分配到其控制的手機上。可以通過結合RSA SecureID硬件令牌和公共網絡攝像頭來利用這一弱點。盡管這種方式可能頗為極端，但短信入侵一直在損害MFA登錄的總體可用性。

實現此類攻擊的方法還有很多。其中一種是賄賂收買手機客服代理來重新分配手機號。另一種方式是利用商業服務獲得手機賬戶訪問權。只要支付16美元的服務費，黑客就可以從路由指定號碼的所有短信，輕松拿下手機賬戶。 

供應鏈攻擊。近期最臭名昭著的軟件供應鏈攻擊是SolarWinds攻擊。該攻擊致使各種各樣的代碼組件遭到感染，目標公司在毫無所覺的情況下就下載了帶后門的組件。防止此類攻擊的方法也很多，其中包括運行時源代碼掃描。

正如Gartner分析師在2021年1月的一篇博客文章中所指出的，“注意，SolarWinds攻擊之所以被發現，是因為一名警報安全人員想知道為什么某員工要用第二部手機注冊多因子身份驗證。這意味著攻擊者的目標是利用身份作為攻擊途徑，尤其是MFA。”

此類攻擊一直是個問題，今年4月Codecov的Bash Uploader工具中就發現了這樣的問題。由于Docker鏡像安全松懈，黑客成功篡改了身份驗證憑據。該工具修改了代碼中插入的環境變量，而想要追蹤這一問題就得跟蹤命令與控制服務器的目標IP地址。

利用被盜MFA繞過身份驗證工作流。Liferay DXP v7.3中MFA模塊的拒絕服務漏洞是又一個MFA弱點例證。這個最近發現的漏洞可使任意注冊用戶通過修改用戶一次性口令通過身份驗證，造成目標用戶無法登錄。該漏洞現已修復。

cookie傳遞攻擊。這種攻擊利用瀏覽器cookie和在cookie中存儲身份驗證信息的網站。一開始，這種方法是為了方便用戶，讓用戶可以保持應用登錄狀態。但如果黑客可以抽取這些數據，他們就能拿下你的賬戶。

服務器端偽造。盡管不完全是MFA問題，但Hafnium或許是近年來最大的漏洞利用，利用了包括服務器端偽造和任意文件寫入漏洞在內的一系列攻擊，完全繞過了微軟Exchange服務器的身份驗證機制。該攻擊涉及Exchange服務器存在的四個零日漏洞。微軟為此發布了一系列補丁。

正確部署雙因素身份驗證

這些不過是著名漏洞利用案例中的一部分，表明我們需要恰當而安全地實現MFA。451 Research的Bekker稱：“MFA實現不好就像戴了副廉價墨鏡，根本起不到什么防護作用。而且，MFA未能在企業普及的最大問題，就是其糟糕的用戶體驗。”

他還指出了另一個問題，“MFA仍然是個二元選擇，就好像夜總會的保安：一旦進入企業網絡內部，你就可以為所欲為，沒人會知道你到底在干什么。MFA如果要起到應有的作用，就必須配合零信任和持續的身份驗證技術。”許多安全供應商如今將MFA與自適應身份驗證產品結合到一起，但其實現過于復雜。

賬戶恢復選項也值得進一步討論。很多企業為普通賬戶登錄設置了牢固的MFA防護，但如果用戶忘記了自己的口令，可以通過發送短信密碼開啟賬戶恢復過程。這就是黑客可以趁虛而入的地方了。

阿卡邁行業戰略顧問Gerhard Giese在去年的一篇文章中指出了這一點，描述了MFA未必總能防止憑證填充的情況。他說，IT經理需要“重新審查自己的身份驗證工作流和登錄界面，確保攻擊者不會通過查詢Web服務器的響應來發現有效憑證，還應實現機器人管理解決方案，讓攻擊者沒那么容易突破。”

今年年初的時候，美國計算機應急響應小組發布了關于潛在MFA漏洞的警報，其中提到了網絡釣魚和登錄憑證暴力破解，還建議對包括賬戶恢復在內的所有身份驗證活動實施MFA，以及改善特權訪問的安全狀況。

MFA技術應該成為企業安全關鍵基礎設施的一部分。近期的攻擊案例，以及來自政府和私營產業領域專家的敦促，應為MFA的明智實現提供更多動力。