Office 365 和 G Suite的多因素认证已遭 IMAP 攻击绕过
编译:360代码卫士团队
Proofpoint 公司分析指出,大量基于 IMAP 的密码喷射攻击已成功绕过微软 Office 365 和 G Suite 账户的多因素认证机制。
这种技术利用的是遗留的认证 IMAP 协议绕过 MFA 这一事实,允许恶意人员针对本应受保护的资产发动凭证填充攻击。
Proofpoint 信息保护研究团队发布报告称,在“最近6个月对主流云服务客户的研究中发现,大量攻击利用遗留的协议和凭证转储来大规模提升暴力攻击账户的速度和效率。”
72%的云客户遭受过至少一次攻击
分析表明,约60%的微软 Office 365 和 GSuite 客户遭基于 IMAP 的密码喷射攻击,而它直接造成25%的易遭攻击的 G Suite 和 Office 365 客户发生数据泄露事件。
总体而言,研究结果显示,在攻陷目标组织机构的账户方面,威胁行动者的成功率达到了令人吃惊的44%。
研究人员指出,“随着组织机构持续将关键业务功能迁移到云上,网络犯罪分子正在利用遗留的协议,导致使用云应用的个人易受攻击。”经过分析“数百万受监控的云用户账户”遭受的约10万次未授权登录后,研究人员发现:
72%的客户至少遭受过一次攻击
40%的客户环境中至少存在一个受攻陷账户
超过2%的活跃的用户账户遭恶意攻击
每1万名活跃的用户账户中就有15个账户遭成功攻击
这种基于 IMAP 的密码喷射攻击在2018年9月和2019年2月期间遭受的次数有所增加,攻击者针对的主要是“高价值用户如主管及其管理助手。”
攻击成功后,攻击者登录到尼日利亚的 IP 地址。约40%的成功攻击源自尼日利亚。
内部钓鱼和横向移动
报告进一步指出,“攻击者使用全球数千台遭劫持的网络设备(主要是易受攻击的路由器和服务器)作为运营的攻击平台。这些遭劫持的设备在50天的期限内平均每隔2.5天就会获得对新客户的访问权限。”
虽然这些恶意攻击者设法通过滥用未受保护的 IMAP 协议绕过了多因素认证保护机制,但他们使用暴力攻击入侵内部账户的技术包括大规模的钓鱼攻击、以及通过数据泄漏获取的凭证等经过时间检验的技术。
攻击者将使用被攻陷的云账户在目标组织机构内传播恶意软件、获取对机密信息的访问权限以出售或作为未来攻击的一部分、以及欺诈性地将转账通过劫持员工的支付系统和公司银行账户重新路由至受控的账户。
恶意人员同时“修改邮件转发规则或设置邮件授权来维护访问权限,有时候发动中间人攻击。他们还利用受攻陷账户钓鱼其它组织机构中的用户,从而引发跨客户污染问题。”
凭证泄漏及窃取
Proofpoint 公司在去年12月份观测到的受攻陷账户猛增60%的情况说明了被泄凭证所能产生的影响。在12月份,包含7.73亿份唯一邮件和相关联密码的87 GB “1号收集 (Collection #1)”出现在黑客论坛上。
然而,之后分析发现“1号收集”只是993 GB 凭证数据库的一小部分,而该数据库仅售45美元,且其中的凭证格式为 email:pass、user:pass或 number:pass。
目前可以确定的是,鉴于今年2月份,8家公司被盗的1.27亿记录出现在 Dream Market 黑市上且售价为价值1.45万美元的比特币,因此并不缺少现成可用的凭证数据库。
雪上加霜的是,在同一周,同样的黑客组织又新添了从16家其它公司盗取的6.2亿账户,且售价为2万美元。
大量凭证泄漏事件导致凭证填充攻击急剧增加,正如Akamai 公司在2019年互联网状况报告中指出,在2018年下半年(2018年5月至12月)检测到280亿凭证填充攻击,而零售网站是凭证滥用的主要目标,遭受的攻击为100亿次。
Proofpoint 公司指出,“这些攻击针对的是具体的个体而非基础设施,且在复杂度以及攻击范围方面持续增长。作为最佳实践,我们建议组织机构建立将云放在首位保护员工的安全方式,并教育用户识别并报告这些先进技术和方法。”
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/multi-factor-auth-bypassed-in-office-365-and-g-suite-imap-attacks/
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。