微軟:駭客盜用權杖(token)來躲避多因素身份驗證

在關於多因素身份驗證(Multi-factor authentication,MFA)的攻擊中,攻擊者入侵已完成MFA的使用者的權杖,並重送該權杖以從其他裝置獲得訪問許可權。 

透過入侵和重新使用已完成MFA的權杖,威脅者滿足了MFA的驗證,並相應地被授予存取許可權。這對資安防護單位來說是一種令人擔憂的策略,因為洩露權杖所需的專業知識非常低,難以檢測,而且少有組織具備有緩解措施。

當使用者遭受釣魚攻擊時,惡意基礎設施會擷取使用者的憑證和權杖。如果憑證和權杖都被盜取,攻擊者可以使用它們進行多次攻擊。微軟強調了商業電子郵件入侵(Business Email Compromise,BEC)是當今網路犯罪中造成財務損失的最大原因。微軟還指出,個人裝置的安全控制通常比企業管理的裝置更脆弱,因此在在個人裝置上存取公司資源的使用者更具風險。

為了應對權杖盜竊攻擊的威脅,儘管這給使用者帶來了一些不便,微軟建議縮短權杖授權時限,其他緩解措施包括:

  • 縮短會談(session)的時限,增加使用者被迫重新驗證的次數
  • 減少權杖的可行時間迫使威脅嘗試者增加嘗試盜竊權杖的頻率
  • 在Microsoft Defender for Cloud Apps中實施有條件的存取,以控制從非託管裝置連線的使用者。

微建議為使用者實施FIDO2安全金鑰、Windows Hello for Business或基於憑證的身份驗證。此外,具有較高權限的使用者,應該有一個獨立的專屬雲端身份。

相關連結:Liam Tung(2022). Microsoft: Hackers are using this ‘concerning’ tactic to dodge multi-factor authentication. ZDNet. 檢自:https://www.zdnet.com/article/microsoft-hackers-are-using-this-concerning-tactic-to-dodge-multi-factor-authentication/ (Nov. 28, 2022)

Scroll to Top