危害公共和私人组织的供应链攻击背后的黑客,已经设计出一种巧妙的方法来绕过保护其目标网络的多因素身份验证系统。
安全公司Volexity的研究人员周一表示,在2019年底和2020年初,他们遇到了同样的攻击者,因为他们深入智囊团组织内部的次数不少于三次。在一次入侵期间,Volexity研究人员注意到黑客使用一种新颖的技术绕过了Duo提供的MFA保护。在受感染的网络上获得管理员特权后,黑客利用这些不受束缚的权利从运行Outlook Web App的服务器中窃取了称为akey的Duo机密,企业使用该机密提供各种网络服务的帐户身份验证。
然后,黑客使用akey生成cookie,因此,当拥有正确用户名和密码的人接管帐户时,他们会准备好cookie。 Volexity指国家赞助的黑客组织Dark Halo。研究人员Damien Cash,Matthew Meltzer,Sean Koessel,Steven Adair和Thomas Lancaster写道:
在第二次Volexity涉及Dark Halo的事件即将结束时,观察到该演员通过OWA访问了用户的电子邮件帐户。出于某些原因,这是意外的,其中最重要的原因是目标邮箱受MFA保护。来自Exchange服务器的日志显示,攻击者提供的用户名和密码身份验证正常,但没有通过Duo受到第二方面的挑战。来自Duo身份验证服务器的日志进一步表明,未尝试登录到相关帐户。 Volexity能够确认不涉及会话劫持,并且通过OWA服务器的内存转储,还可以确认攻击者提供了与名为duo-sid的Duo MFA会话绑定的cookie。
Volexity对这一事件的调查确定,攻击者已从OWA服务器访问了Duo集成密钥(akey)。然后,该密钥使攻击者可以得出在duo-sid cookie中设置的预先计算的值。成功进行密码身份验证后,服务器评估了duo-sid cookie并确定其有效。这使攻击者知道用户帐户和密码,然后完全绕过帐户上设置的MFA。此事件强调了确保与密钥集成关联的所有机密(例如与MFA提供者的机密)在发生泄露后应进行更改的必要性。此外,重要的是,不仅要在违规后更改密码,而且不要将密码设置为与以前的密码类似的内容(例如,Summer2020!vs Spring2020!或SillyGoo $ e3 vs SillyGoo $ e2)。
Volexity对Dark Halo的描述加强了其他研究人员所做的观察,即黑客是高技能的。 Volexity说,攻击者在智囊团客户认为该组织已被驱逐后反复返回。最终,Volexity说,攻击者“几年来仍未被发现”。
《华盛顿邮报》和《纽约时报》均援引了政府人士的不愿透露姓名的说法,称黑客入侵背后的组织既被称为APT29,又被称为俄罗斯联邦安全局(FSB)的高级持续威胁组织Cozy Bear。
尽管本例中的MFA提供者是Duo,但它也很可能涉及其任何竞争对手。 MFA威胁建模通常不包括OWA服务器的完整系统危害。黑客获得的访问级别足以阻止几乎所有防御措施。
思科公司的Duo Security注意到最近有一个安全研究人员的博客文章,该文章讨论了在过去一年中从特定威胁参与者团体中观察到的多个安全事件。其中一件事件涉及Duo与Outlook Web Application(OWA)的集成。
而是,该帖子详细介绍了一个攻击者,该攻击者从现有的受感染客户环境(例如电子邮件服务器)中获得了对集成凭据的特权访问,这些集成凭据对于Duo服务的管理是必不可少的。
为了减少发生此类事件的可能性,至关重要的是保护集成秘密以防组织内暴露,并在怀疑有折中的情况下轮换秘密。与MFA提供程序集成的服务的破坏可能导致集成秘密的泄露以及对MFA保护的系统和数据的潜在访问。
Volexity说,Dark Halo的主要目标是获取智囊团内部特定个人的电子邮件。这家安全公司表示,Dark Halo是一个复杂的威胁参与者,与任何知名的威胁参与者没有任何联系。