【安全盲點】多重因素驗證設定陷阱入侵休眠帳戶重登網絡
多重因素驗證 (Multi-Factors Authentication, MFA) 被視為防止帳戶入侵的強力武器,不過最強武器都要懂得使用,否則都未必可以為公司網絡保平安。美國CISA及FBI最新公布的一個入侵個案,受害的 NGO 機構雖然都有用 MFA,不過黑客依然有門路入侵,企業的 IT 管理員要注意!
根據 CISA 及 FBI 的案情透露,懷疑由俄羅斯政府支持的黑客組織能夠成功入侵 NGO,建基於 NGO 的 IT 工具存在的兩個失誤。讓黑客於內部網絡建立立足點的第一個失誤,是 NGO 採用的 Duo MFA 工具預設可讓閒置帳戶重新登記電腦裝置,於是黑客利用暴力破解方式取得 NGO 其中一個閒置帳戶的登入權限後,便能重新註冊一部電腦設備。
第二個失誤是 NGO 的 IT 管理員未有堵塞去年 8 月發現的 Windows 10 PrintNightmare 漏洞,雖然 Microsoft 已推出安全更新超過半年時間,但漏洞仍然存在,因此黑客第二步便是利用這個漏洞提升搶奪回來的帳戶成為管理員權限,然後進入 Duo MFA 關閉對已奪取帳戶的驗證流程,由於系統預設為 fail open,即是當 MFA 工具無法與伺服器進行連線,便會選擇在缺乏 MFA 驗證下依然讓用戶登入,阻止因登入錯誤而出現警報。專家指黑客便是通過上述步驟,多次取得 NGO 員工以至管理層的帳戶,因而可監控機構的電郵系統及獲取需要的資料。
從上述的失誤可見,雖然 MFA 號稱為阻止帳戶入侵的神器,但如果IT管理員未有清楚了解系統預設的功能詳情,即使有漏洞存在也不得而知。專家建議管理員應重新審視系統設定,加強對登記電腦設備或在網絡異常時如何處理帳戶登入的優先順序。另外,亦要呼籲員工使用強密碼,並將所有軟硬件保持在最新的系統版本。
相關文章:【有改善空間】2/3被攻擊企業 因不良安全政策及設定遇害
https://www.wepro180.com/ibm210922/
