【MFA失效】Microsoft警告 採用舊式驗證技術易被入侵
Microsoft 專家警告,依然採用舊式驗證 (legacy authentication) 技術管理 Exchange Online 的企業,即使啟用多重因素驗證 (MFA) 服務,都有可能被黑客入侵帳戶,最近就有一宗商業電郵詐騙 (BEC) 案例,就是因為上述原因而出事……
根據 Microsoft 的官方描述,舊式驗證指的是使用基本驗證的通訊協定,而採用相關驗證為基礎的應用程式包括舊版 Microsoft Office 應用程式及使用 POP、IMAP、SMTP 等郵件通訊協定的應用程式。由於舊式驗證無法強制執行多重因素驗證 (Multi-Factors Authentication),因此黑客會優先攻擊這些應用程式,而從 Azure Active Directory 流量分析得出的統計數字,發現超過 99% 採用舊式驗證的帳戶曾遭受密碼噴濺攻擊,97% 帳戶曾遭受認證填充攻擊,另外停用舊式驗證的組織被攻擊的次數少 67%,這些數字亦印證了這個現象。
而 Microsoft 安全團隊最近公開的一個BEC案例,受害企業便是因為仍採用舊式驗證,因而被黑客輕鬆入侵,暗中設下電郵轉發規則,收集有價值的資料,在時機成熟時便假扮成高層或企業的客戶,要求轉帳金錢。專家解析,黑客一開始是透過釣魚電郵取得其中一個員工的帳戶登入資料,雖然企業有設定 MFA,但由於沒有正確關閉舊式驗證技術,因此即使黑客輸入錯誤的驗證碼,也不會觸發系統通知,最終讓黑客可暗中登入帳戶。專家又指出黑客非常猾狡,採用了不同的 IP 及登入時間點,令系統無法將多個帳戶滲透活動歸結為同一惡意入侵,而在發出 BEC 電郵時,又偽冒成 DNS 收發記錄中曾使用的位址,繞過網絡安全工具的偵測。
專家提醒 IT 人員在關閉舊式驗證時必須先做檢查,因為如有其他應用程式仍在使用舊式驗證,單純在 Azure Active Directory 上停用也解決不了問題,甚至可能會導致整體目錄產生錯誤。參考官網建議做法,基本檢查方法如下:
1. 瀏覽至 [Azure 入口網站] > [Azure Active Directory] > [登入]。
2. 如果未顯示 [用戶端應用程式] 欄,請按一下 [欄] > [用戶端應用程式] 來新增此欄。
3. 新增篩選 > 用戶端應用程式> 選取所有舊版驗證通訊協定。 選取 [篩選] 對話方塊以外的範圍,以套用您的選取專案並關閉對話方塊。
4. 如果您已啟用新的登 入活動報告預覽,請在 使用者登入 (非互動式) 索引標籤上重複上述步驟。