2025-11-13 21:11:19
最近,研究人员发现一个复杂的商业邮件妥协BEC活动,目标是 Microsoft 365 组织,并利用了 Microsoft 365 多因素认证 (MFA)、Microsoft Authenticator 和 Microsoft 365 身份保护中的固有弱点。
蘑菇加速器官网mogu在周三的博客文章中,Mitiga 的研究人员指出,这些弱点使得 MFA 提供的附加安全性变得无效,即使是启用了 MFA 的账户也会被完全妥协。
在调查过程中,Mitiga 的研究人员发现,攻击者从多个地点包括新加坡、迪拜和加州圣荷西访问了该组织一位高管的 Microsoft 365 用户账户。初步攻击利用了一种称为中间人攻击AiTM的钓鱼技术,使攻击者获得高管的账户和邮箱访问权限。
然而,研究人员表示,进一步调查发现该用户的 Microsoft Authenticator 应用程序在未被用户知晓的情况下被设置为第二个应用。这样一来,攻击者就可以完全控制被攻击的账户,这有效消除了 MFA 的保护作用,研究人员表示对此深表关切。随着 AiTM 攻击的加速增长,他们认为再也不能单靠 MFA 作为抵御身份攻击的主要防线。
“我们强烈建议在现有 MFA 之上设置另一层防御,采用与物理设备或员工授权的笔记本电脑和手机相关联的第三个因素,”研究人员说。“Microsoft 365 提供的条件访问功能可以通过要求仅通过注册和合规的设备进行身份验证来实现,这将完全阻止 AiTM 攻击。”
AppviewX 的现场首席信息安全官 Alon Nachmany 表示,安全行业一直在推销 MFA 作为缓解钓鱼攻击的重要措施,且这一观点仍然有效。Nachmany 说明,尽管多因素认证MFA以前与双因素认证2FA同义,但现在行业需要增加额外的因素。
“这可以是证书的形式,既可以是员工凭证上的用户证书,也可以是用来确保请求来自公司设备的机器证书,” Nachmany 说。“当我担任 NHLD 的首席信息安全官时,我们使用位置作为第三个因素,以确保员工在美国内,如果有人出国旅行,则需要提交行程,我们会根据日期和国家给予接受。”
Vade 的首席技术与产品官 Adrien Gendre 补充说,某些人错误地认为 MFA 是灵丹妙药,但实际上它往往是把双刃剑。Gendre 指出,MFA 在账户被攻破后往往毫无作用,至少在短期内是这样。其次,它可能会造成一种虚假的安全感。
“这次攻击正是黑客将我们的防御机制反向使用的一个完美例子,”Gendre 说。“MFA 应当在每个组织中部署以提高安全性,但它应该只是防止此类数据泄露的多层安全措施之一。层层叠加确保潜在威胁需要通过多个安全层。如果每一个层都失败了,虽然有时可能会失效,但应当有事件响应工具和程序快速处理情况。”
SlashNext 的首席执行官 Patrick Harr 表示,MFA 仍然是抵御钓鱼攻击的有效措施,因为它增加了利用被攻破的凭证入侵组织的难度。
“然而,MFA 并非万无一失,”Harr 说。“去年,CISA 警告称网络犯罪分子正在利用云来绕过 MFA。Microsoft 365 是一个高价值目标,因为这是被攻破最频繁的云服务,组织高度依赖 Microsoft 和 MFA 来保护自己。结合 BEC、凭证盗取以及恶意手段
蘑菇官方平台,致力于提供全球快速连接服务,实现一键畅享网络。无论身处何地,轻松解决网络缓慢难题,提升在线体验,带来无与伦比的速度和便捷。
