【人為失誤】MFA安全盲點 俄羅斯黑客利用休眠帳戶建立據點

    多重因素驗證 (MFA) 原本是用來加強登入帳戶的安全性,減少因帳戶名稱及密碼外洩,導致黑客可以直接登入帳戶的風險。不過,網絡安全公司 Mandiant 最近一份調查報告便發現,俄羅斯國家級黑客集團 Cozy Bear (又稱為 APT29) 就利用了 Microsoft 帳戶容許用家自行登記 MFA 驗證裝置的漏洞,暗中將「休眠」帳戶據為己用,然後進入企業的內部網絡刺探機密。

    專家解釋,企業 IT 管理員會因為各種原因,預先開設一些帳戶供日後使用。不過,Cozy Bear不知道由什麼渠道得知這些休眠帳戶,或可能從地下討論區買到休眠帳戶,而且又以預設密碼或暴力破解密碼方式,順利登入帳戶,讓他們可以進行下一步的惡意活動。專家說黑客首先為帳戶申請 Microsoft Azure Active Directory 的 MFA 驗證裝置,將他們的設備設定為接收 MFA 驗證碼的途徑,日後便可自行出入帳戶,同時亦可保護帳戶被其他人使用。

    取得帳戶登入權限,Cozy Bear 便暗中在公司內部網絡內潛伏,收集所需要的機密數據。Mandiant 說他們其中一個客戶便被相同手法入侵,但就拒絕透露到底是哪一間機構,但根據 Cozy Bear 過往的犯罪記錄,相信主要是針對美國及北約國家政府機構,刺探敵情。

    專家呼籲企業 IT 管理員應加強保護休眠帳戶,例如在讓用家自行申請及登記 MFA裝置時,必須得到部門審批,並向員工提供有時限的驗證碼登記 MFA 裝置,甚至只容許登記行為在公司內部網絡發生,杜絕黑客由外部取得登入權限。專家又說雖然MFA的確是保護帳戶的重要武器,但必須小心弄清楚登記過程有否存在安全盲點,如果對方是勒索軟件集團,讓他們入侵公司網絡就大件事!

    資料來源:https://zd.net/3q2UuyY

    相關文章:【漁翁撒網】冒充網絡安全公司要求回撥電話 黑客新招發動釣魚電郵攻擊
    https://www.wepro180.com/callback220715/ 

    #ActiveDirectory #APT29 #Azure #cozybear #Mandiant #MFA #Microsoft

    相關文章