长期以来，凭据泄露一直是网络入侵的主要原因之一，这也促使更多的组织采用多因素身份验证（MFA）作为防御手段。虽然鼓励为所有账户启用MFA是一种最佳实践方式，但实现细节至关重要，因为攻击者也正在积极寻找绕过它的方法。

过去，攻击者绕过多因素身份验证的主要方式是通过恶意软件或中间人网络钓鱼攻击框架（例如evilginx2）窃取cookie。然而，最近一种称为“MFA疲劳攻击”的社会工程技术在黑客攻击中变得越来越流行。

什么是MFA疲劳攻击？

MFA疲劳攻击指的是攻击者运行一个脚本，自动反复使用被盗凭据登录，从而导致向帐户所有者的移动设备无休止地发送MFA授权通知。攻击者的目的是通过无休止的消息推送实施“疲劳轰炸”，击垮目标的安全意识，直至其出现失误。

在很多情况下，攻击者会反复推送MFA通知，然后通过电子邮件、 消息平台或电话联系目标， 甚至伪装成IT技术支持人员以说服用户确认MFA授权通知。最终，目标不胜其扰，忙中出错或者不小心误按“批准”按钮。

这是一种简单但有效的技术，目前已成功应用于针对Microsoft、 Cisco和Uber的攻击案例中。

Uber、LAPSUS$和过去的入侵案例

9月15日，Uber遭遇网络入侵，威胁行为者成功访问了Uber的许多关键IT系统，包括其电子邮件和云系统、企业安全系统和Windows域、代码存储库、内部Slack账户、OpenDNS和HackerOne漏洞赏金平台等。

据悉，一名Uber外部承包商感染了恶意软件，导致Uber凭据被泄露到黑市。攻击者可能是从黑市购买到这份泄露数据，并挑出对其有用的信息以及合适下手的人。之后，攻击者开始在长达一个多小时的时间内向目标员工推送push认证通知，并且通过WhatsApp佯装成Uber的IT技术支持人员联系了该员工，告诉他必须批准授权才能终止推送。最终，该员工被成功说服，攻击者也成功入侵了Uber内网。

Uber认为，此次攻击的幕后黑手可能与LAPSUS$组织有关，该组织今年已经对包括微软、思科、三星、英伟达和Okta在内的多家科技公司实施了入侵。2022年3月，伦敦警方逮捕了7名年龄在16到21岁之间的人，指控他们参与了该组织。尽管之后LAPSUS$的活动已经放缓，但许多研究人员认为该组织可能有更多的分支和成员。

Uber还表示自己并非唯一的“MFA疲劳攻击”受害者，LAPSUS$过去也曾对其他受害者使用了类似的技术。

例如，2022年8月，Cisco内网遭遇勒索软件团伙入侵。攻击者通过入侵Cisco员工的个人谷歌帐户获取到VPN账号密码。由于该员工在Google Chrome启用了密码同步，并将其Cisco凭据存储在浏览器中，因此这些信息能够同步到谷歌帐户。

由于新型的VPN基本都会开启多因素身份验证，攻击者便以各种受信任的组织为幌子进行了一系列复杂的语音网络钓鱼攻击，试图说服受害者接受其发起的多因素身份验证推送（MFA push）通知。Cisco收购了Duo，因此使用Duo多因子的push通知。只要受害者被骗在自己的设备上轻轻点击一下，攻击者就可以获得授权。

最终，语音社工大获成功，受害者被说服，攻击者通过VPN顺利进入了Cisco内网。

2022年3月，微软遭遇入侵，37GB源代码泄露。微软介绍称，攻击者专注于通过多种方式——部署恶意 Redline 密码窃取程序以进行窃取；在地下论坛上购买凭证；向目标组织（或供应商/业务合作伙伴）的员工开价购买；在公共代码存储库中搜索公开的凭证——获取凭证，以获得公司网络初始访问权限。

一旦窃取凭据访问权限，攻击者就能以此来登录公司面向公众的设备和系统，包括 VPN、虚拟桌面基础设施或身份管理服务。对于拥有多因素身份验证的用户，攻击者会通过使用会话重放攻击，或持续触发MFA通知，让一些用户感到厌烦，从而索性允许其登录。而一旦获得对网络的访问权限，攻击者就会使用AD Explorer来查找具有更高权限的帐户，然后瞄准开发和协作平台，例如SharePoint、Confluence、JIRA、Slack和Microsoft Teams。

MFA疲劳攻击是如何利用人为因素的？

与社会工程一样，这些MFA垃圾邮件攻击依赖于用户缺乏对攻击载体的认知和理解。做好MFA是一项讲究平衡的工作。严格和无效的会话通常会产生频繁的MFA提示，员工可能会厌倦它们，进而麻痹大意。当MFA疲劳攻击发生时，他们会收到大量的推送通知，他们可能只是认为恼人的系统出了故障，就会像以前一样直接接受通知。

安全公司GoSecure的研究人员认为，

“许多MFA用户并不熟悉这种类型的攻击，也不明白他们批准的是一份欺诈通知。其他人只是想让这种无休止的通知消失，根本不知道自己在做什么，因为他们一直在批准类似的通知。他们无法透过‘通知过载’发现威胁。”

另一方面，如果MFA策略太宽松，那么经过身份验证的会话将长期存在，IP更改不会触发新的提示，新的MFA设备注册也不会触发警告，当已经通过MFA检查的身份验证令牌之类的东西被盗时，组织将面临得不到警告的风险。虽然Okta公司也遭到了此类攻击，但我们可以从这次事件中学到一些积极的东西。该公司的一些MFA策略起了作用，当黑客试图注册一个新的MFA设备到该帐户时，就会触发警报。

如何缓解MFA疲劳攻击？

组织既需要培训他们的员工发现这些新型攻击，也需要实施技术控制以降低MFA滥用的可能性。限制可用的MFA方法，对MFA请求实施速率限制，为经过身份验证的用户检测位置变化，这些都可以减轻这些风险。如果一些身份验证提供者不提供这些控制措施，客户应该要求其提供它们。

Mandiant事件响应人员Steve Elovitz建议称，

“如今，越来越多的MFA push通知正在被滥用。攻击者只需在用户批准之前无休止地发送垃圾邮件就能成功实现攻击目的。因此，建议禁用push，使用pin或YubiKey之类的东西来简化操作。与此同时，请注意每个账户的push尝试次数。”

*YubiKey是Yubico制造的一种硬件身份验证设备，支持一次性密码（OTP）、公钥加密和身份认证，以及由FIDO联盟（FIDO U2F）开发的通用第二因素（U2F）协议，用于保护对计算机、网络和在线服务的访问。Yubikey实现了基于HMAC的一次性密码算法（HOTP）和基于时间的一次性密码算法（TOTP），并且将本身作为一个通过USB HID协议的键盘来提供一次性密码。在Uber的新泄露事件发生后，安全专家认为，一次性密码/pin（OTPs）远不是理想的第二因素，但它们比push更好，而且符合FIDO2的实现显然是最好的选择。

安全研究人员Kevin Beaumont也建议禁用MFA push通知，并建议Azure和Office 365客户启用微软新的“数字匹配”（number-matching）MFA策略。今年新增的“数字匹配”选项要求用户将在认证页面上接收到的数字输入到认证应用程序中。这与OTP方法相反，OTP方法是用户将手机认证应用程序生成的代码输入到认证页面。它也比认证过程在用户手机上触发一个push通知（用户只需要点击“是”）更安全。

CyberArk红队服务副总裁Shay Nahari则建议，在防范各种类型的MFA攻击时，重要的是在个人资料更改时强制执行MFA，以防止恶意行为被忽视，并对风险事件建立主动审查。此外，组织安全运营中心（SOC）可以利用用户行为分析来设置上下文触发器，在检测到异常行为时发送警报，或阻止来自可疑IP地址的用户认证。

原文链接：

https://www.csoonline.com/article/3674156/multi-factor-authentication-fatigue-attacks-are-on-the-rise-how-to-defend-against-them.html