骇客绕过多因素验证骇入云端系统账号，可能和SolarWinds攻击有关

美国网络安全暨基础架构管理局（Cybersecurity and Infrastructure Security Agency，CISA）本周警告，骇客发展出成功绕过多因素验证（multi-factor authentication，MFA）来骇入用户云端服务的攻击手法。

CISA近日经手一件网络攻击案例，攻击者使用了多种攻击策略和手法，除了常见的钓鱼信件、暴力破解账号变更，可能也使用一种名为“传送cookie（pass the cookie）”的手法，以骇入受害者单位的云端系统。

CISA解释攻击者在利用钓鱼信件诱使用户下载恶意程式，或以暴力破解账号进入受害者网络后进行后续攻击。后续攻击包括成功登入一个具有多因素验证（MFA）保护的账号。CISA相信，攻击者可能是在用户电脑上，以窃密程式取得浏览器的cookie，以绕过MFA的防护。另外，攻击者也变更受害者现有邮件的转寄规则，将重要信件转寄到骇客控制的账号，或是转到骇客设立的RSS资料夹中以免被发现。

Pass the cookie手法是指，攻击者利用窃取来的连线cookie来验证、登入到Web应用或服务。由于连线已经过验证，使攻击者可绕过某些MFA协定。

虽然CISA未指这受害者为何，不过可能是指本周云端邮件安全服务商Mimecast。Mimecast昨（13）日向用户发布安全公告，该公司发给客户以Mimecast云端系统，包括Sync and Recover、Continuity Monitor及Internal Email Protect登入Microsoft 365 Exchange Web Services的凭证，遭到骇客窃取。亦即攻击者可绕过Exchange Web Service的MFA验证窃取、劫持用户MS365 Exchange的信件。

Mimecast建议用户立即删除连向Microsoft 365验证过的连线，并以新凭证重新建立连线。

Mimecast表示在其3.6万家客户中，有约10%使用了受影响的连线，虽然该公司相信遭到锁定的企业用户家数为个位数。

路透社引述三名进行调查的消息人士报导，Mimecast攻击者可能和SolarWinds骇客为同一批人，后者更波及多个美国-单位，包括商务部、财政部及国土安全部等。

美国-单位包括FBI、CISA都怀疑这批骇客和俄罗斯-有关，不过俄罗斯-否认这个说法。