骇客绕过多因素验证骇入云端系统帐号，可能和SolarWinds攻击有关
https://www.ithome.com.tw/news/142230
美国CISA发现一起网络攻击事件，攻击者利用钓鱼信件诱使用户下载恶意程式，或以暴力
破解帐号进入受害者网络后，成功登入一个具有多因素验证（MFA）保护的帐号。CISA相
信，攻击者可能是在用户电脑上，以窃密程式取得浏览器的cookie，以绕过MFA的防护
https://i.imgur.com/TL18Tyf.jpg
美国CISA近日经手一件网络攻击案例，除了采取常见的网钓信、暴力破解帐号变更，可能
也使用名为“传送cookie（pass the cookie）”的手法，成功登入一名具有多因素验证
（MFA）保护的帐号。Pass the cookie手法是指，攻击者利用窃取来的连线cookie来验证
、登入到Web应用或服务。由于连线已经过验证，使攻击者可绕过某些MFA协定。（示意图
，图片来源／Johann Rehberger, Pivot to the Cloud using Pass the Cookie, https:
//c3lt.de/35c3/talk/CK3DWH/）
新闻
骇客绕过多因素验证骇入云端系统帐号，可能和SolarWinds攻击有关
美国CISA发现一起网络攻击事件，攻击者利用钓鱼信件诱使用户下载恶意程式，或以暴力
破解帐号进入受害者网络后，成功登入一个具有多因素验证（MFA）保护的帐号。CISA相
信，攻击者可能是在用户电脑上，以窃密程式取得浏览器的cookie，以绕过MFA的防护
按赞加入iThome粉丝团
文/林妍溱 | 2021-01-14发表
美国CISA近日经手一件网络攻击案例，除了采取常见的网钓信、暴力破解帐号变更，可能
也使用名为“传送cookie（pass the cookie）”的手法，成功登入一名具有多因素验证
（MFA）保护的帐号。Pass the cookie手法是指，攻击者利用窃取来的连线cookie来验证
、登入到Web应用或服务。由于连线已经过验证，使攻击者可绕过某些MFA协定。（示意图
，图片来源／Johann Rehberger, Pivot to the Cloud using Pass the Cookie, https:
//c3lt.de/35c3/talk/CK3DWH/）
美国网络安全暨基础架构管理局（Cybersecurity and Infrastructure Security Agency
，CISA）本周警告，骇客发展出成功绕过多因素验证（multi-factor authentication，M
FA）来骇入用户云端服务的攻击手法。
CISA近日经手一件网络攻击案例，攻击者使用了多种攻击策略和手法，除了常见的钓鱼信
件、暴力破解帐号变更，可能也使用一种名为“传送cookie（pass the cookie）”的手
法，以骇入受害者单位的云端系统。
CISA解释攻击者在利用钓鱼信件诱使用户下载恶意程式，或以暴力破解帐号进入受害者网
路后进行后续攻击。后续攻击包括成功登入一个具有多因素验证（MFA）保护的帐号。CIS
A相信，攻击者可能是在用户电脑上，以窃密程式取得浏览器的cookie，以绕过MFA的防护
。另外，攻击者也变更受害者现有邮件的转寄规则，将重要信件转寄到骇客控制的帐号，
或是转到骇客设立的RSS资料夹中以免被发现。
Pass the cookie手法是指，攻击者利用窃取来的连线cookie来验证、登入到Web应用或服
务。由于连线已经过验证，使攻击者可绕过某些MFA协定。
虽然CISA未指这受害者为何，不过可能是指本周云端邮件安全服务商Mimecast。Mimecast
昨（13）日向用户发布安全公告，该公司发给客户以Mimecast云端系统，包括Sync and R
ecover、Continuity Monitor及Internal Email Protect登入Microsoft 365 Exchange W
eb Services的凭证，遭到骇客窃取。亦即攻击者可绕过Exchange Web Service的MFA验证
窃取、劫持用户MS365 Exchange的信件。
Mimecast建议用户立即删除连向Microsoft 365验证过的连线，并以新凭证重新建立连线
。
Mimecast表示在其3.6万家客户中，有约10%使用了受影响的连线，虽然该公司相信遭到锁
定的企业用户家数为个位数。
路透社引述三名进行调查的消息人士报导，Mimecast攻击者可能和SolarWinds骇客为同一
批人，后者更波及多个美国政府单位，包括商务部、财政部及国土安全部等。
美国政府单位包括FBI、CISA都怀疑这批骇客和俄罗斯政府有关，不过俄罗斯政府否认这
个说法。