一个网络钓鱼活动正在利用微软活动目录联盟服务(ADFS)绕过多因素身份验证(MFA)并接管用户账户,使威胁行为者能够在依赖该服务进行单点登录(SSO)身份验证的网络中实施进一步的恶意活动。
来自 Abnormal Security 的研究人员发现了这一活动,其目标是约 150 家组织(主要是教育部门),这些组织依赖 ADFS 在多个内部部署和基于云的系统中进行身份验证。
该活动使用欺骗性电子邮件将人们引导到伪造的 Microsoft ADFS 登录页面,该页面针对目标使用的特定 MFA 设置进行了个性化设置。一旦受害者输入凭证和 MFA 代码,攻击者就会接管账户,并通过 SSO 功能转到其他服务。他们似乎正在开展一系列入侵后活动,包括侦察、创建邮件过滤规则以拦截通信,以及针对组织内其他用户的横向网络钓鱼。
安全公司 Saviynt 的首席信任官 Jim Routh 认为,ADFS 中的传统 SSO 功能 "为企业用户提供了便利",针对该功能的攻击会带来巨大的收益。他指出,该功能最初是为在防火墙后使用而设计的,但现在却暴露出了更多问题,因为它越来越多地应用于基于云的服务,尽管它的设计初衷并非如此。
一位长期从事安全工作的专业人士说,攻击者正在欺骗微软 ADFS 登录页面,以获取用户凭据并绕过 MFA,这种方式他以前从未见过。
"安全公司 KnowBe4 的数据驱动防御布道者 Roger Grimes 说:"这是我第一次看到有关伪造 ADFS 登录页面的报道。
服务台诱骗凭证
活动目标收到的电子邮件被设计成来自企业 IT 服务台的通知(这是一种广泛使用的网络钓鱼诡计),其中的信息告知收件人有紧急或重要更新需要他们立即关注。信息要求他们使用提供的链接启动所要求的操作,如接受修订后的政策或完成系统升级。
研究人员指出,尽管如此,这些电子邮件仍包含各种特征,使其看起来令人信服,包括伪造的发件人地址(看起来好像来自受信任的实体)、模仿合法品牌的欺诈性登录页面以及模仿合法 ADFS 链接结构的恶意链接。
"报告称:"在这次活动中,攻击者利用可信环境和熟悉的 ADFS 登录页面设计,诱骗用户提交他们的凭据和第二因素身份验证详细信息。
以传统用户为目标
研究人员说,虽然该活动针对的是各行各业,但首当其冲(超过50%)受到攻击的组织是中小学、大学和其他教育机构。"报告称:"这凸显了攻击者对用户量大、系统陈旧、安全人员较少、网络安全防御系统往往不够成熟的环境的偏好。
该活动针对的其他行业也反映了这种偏好,按攻击频率排序包括:医疗保健、政府、科技、交通、汽车和制造业。
研究人员指出,尽管微软和异常安全公司都建议企业过渡到其现代身份平台 Entra 进行身份验证,但许多 IT 部门不太成熟的企业仍然依赖 ADFS,因此仍然很容易受到攻击。
“这种依赖在技术采用周期较慢或依赖传统基础设施的行业尤为普遍,这使它们成为凭证收集和账户接管的主要目标,”报告称。
但是,即使组织仍在使用 ADFS,它仍然可以采取措施保护自己,Grimes 说。例如,他建议所有用户尽可能使用“防网络钓鱼 MFA”。
研究人员建议的其他缓解措施包括对用户进行有关现代攻击者网络钓鱼技术和心理策略的教育,以及使用高级电子邮件过滤、异常检测和行为监控技术来识别和缓解网络钓鱼攻击,并及早发现被盗用的帐户。
信息来源:https://www.darkreading.com/cyberattacks-data-breaches/attackers-education-sector-hijack-microsoft-accounts
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局