多因素身份验证(Multi-factor Authentication,简称MFA,有时也称为2FA)是保护您的Office 365帐户不受试图访问它们的攻击者攻击的绝佳方法。作为第二种保护形式,以及密码,它提供了验证试图登录的用户真实身份的过程中的另一个步骤。有很多MFA选项,包括短信、一次性密码(OTP)和应用程序的推送通知。虽然这些方法的目的是提供额外的保护,但攻击者也开始寻找方法来破坏本应增强安全性的做法。在这种情况下,我们正在研究MFA疲劳,重点是当前的攻击向量推送通知垃圾邮件。我们将描述什么是MFA疲劳,它是如何执行的,并详细说明it专业人员在其组织内检测和缓解疲劳的步骤。
GoSecure Titan实验室根据最近的调查,利用MFA疲劳攻击确定了新的威胁向量。我们的团队还发现,使用这种技术进行的攻击数量显著增加。
在野外,积极性很高且已知存在威胁的参与者正在积极使用这种方法渗透Office 365帐户并危害整个组织。随着基于应用程序的身份验证机制越来越多地被采用,作为一种更安全的用户身份验证方式(相对于短信或电话),预计这种趋势在未来会增长,甚至会受到微软本身的鼓励。
术语“MFA疲劳”是指通过多个账户中的MFA应用程序,用户在一天中收到大量通知或提示,以执行登录或批准不同的操作。这不应该与“密码疲劳”混淆,在这种情况下,用户必须记住多个帐户或事件的密码或PIN码的数量太多。MFA疲劳和密码疲劳确实有一个相似的主题,即用户“疲惫不堪”(或被流量淹没),并将开始将安全最佳实践放在一边,变得粗心大意,使他们的组织和帐户处于危险之中。
如前所述,MFA可以使用多种介质对用户进行身份验证,例如SMS消息或电话,其中用户通过预先配置的电话号码验证其身份。一次性密码或OTP是另一种通过生成以固定时间间隔更新的密码来验证用户身份的方法。另一种选择是从应用程序推送通知。这是我们将重点关注的身份验证方法,因为它使攻击者能够执行推送通知垃圾邮件攻击。
这种技术很简单,因为它只需要攻击者在尝试登录受害者帐户时手动甚至自动发送重复推送通知。使用的凭证可以通过暴力强制、密码重复使用或喷洒获得。一旦攻击者获得有效凭据,他们将重复执行推送通知垃圾邮件,直到用户批准登录尝试并允许攻击者访问该帐户。这通常是因为用户被通知分散了注意力或不知所措,在某些情况下,它可能被误解为错误或与其他合法身份验证请求混淆。
这种攻击之所以特别有效,不是因为所涉及的技术,而是因为它针对的是MFA的人为因素。许多MFA用户不熟悉这种类型的攻击,也不理解他们批准的是欺诈性通知。其他人只是想让它消失,根本不知道自己在做什么,因为他们一直在批准类似的通知。他们无法通过“通知过载”来发现威胁。
幸运的是,通过检查登录日志,可以直接从Azure门户检测到这种类型的攻击。我们强烈建议IT专业人士采取以下步骤:
在监控下,您将看到登录日志,其中记录了有关用户登录和资源的信息。
然后,通过无法获取拒绝的MFA推送通知列表来过滤登录状态。
推送通知垃圾邮件应在成功列下为false,且MFA被拒绝;用户拒绝了结果详细信息下的身份验证。
Azure日志分析还可以用于分析搜索此类行为的查询。这样的查询可以检索大量信息,用于检测这些攻击:
签名
此查询应检索上个月找到的条目,并可进行自定义,以检索更多结果,或根据搜索结果创建警报规则。
如果Azure Sentinel正在使用,那么狩猎查询也可以应用于捕获、警报,甚至通过实现游戏本来响应匹配来减轻这些攻击。在Azure Sentinel搜索查询存储库中可以找到一些示例。
有很多方法可以减轻这种类型的攻击。在这里,我们将重点介绍其中的一些功能,以便M365管理员可以选择任何适合他们需要的功能。我们将重点关注推送通知,因为密码复杂性规则和密码重用缓解措施应该已经到位。
保护您的Microsoft 365帐户免受此攻击的一种有效方法是配置多因素身份验证服务的默认限制。这些限制(默认和最大)可以在Azure资源管理器文档中找到。
通过使用Microsoft Authenticator的电话登录验证方法,用户可以帮助防止意外访问其帐户。在这种情况下,将生成一个唯一的两位数数字,并且必须在两侧进行确认。这对于攻击者来说是很难妥协的,因为攻击者会在手机中看到一个必须猜测的号码(攻击者无权访问)。只有攻击者才知道该号码,要批准访问,用户必须从三个选项中选择一个号码。这样会减少批准上述访问的可能性。在这里,您可以了解更多有关这种验证方法的信息。
这是一个激进的举措,但也是一个快速的解决方案,因为它将禁止使用推送通知作为验证方法。以下是进行此更改的步骤:
在“服务设置”页面的“验证选项”下,清除“通过移动应用程序通知”复选框。
正如我们在本文中所讨论的,MFA疲劳是一个真正的问题,它可能会危及Microsoft Office 365帐户,但有许多方法可以保护我们自己免受MFA疲劳和当前推送通知垃圾邮件攻击的增加。要了解更多关于GoSecure Titan实验室的最新更新和研究,请定期查看此博客,并在Twitter和LinkedIn上关注GoSecure。