近日，APT黑客组织通过“日爆攻击”（SUNBURST）SolarWinds的网络管理软件，渗透到了包括五角大楼和白宫在内的1.8万家企业和政府机构，在网络安全业界掀起轩然大波。

据网络安全公司Volexity报道，实施“日爆攻击”的APT组织已经设计出一种巧妙的方法，能够绕过目标网络的多因素身份验证系统。

安全公司Volexity的研究人员周一表示，它在2019年末和2020年初遇到了与“日爆攻击”黑客手法类似的攻击者，该攻击者深入某智库组织内部的次数不少于3次。

在一次攻击期间，Volexity研究人员注意到黑客使用了一种新颖的技术绕过了Duo提供的多因素身份验证保护（MFA）。在受感染的网络上获得管理员特权后，黑客利用这些特权账户从运行Outlook Web App（各种网络服务提供帐户身份验证）的服务器上窃取了名为akey的Duo机密信息。

然后，黑客使用akey预先生成cookie，用来绕过目标账户的MFA验证。Volexity认为攻击者是国家黑客组织Dark Halo。研究人员Damien Cash、Matthew Meltzer、Sean Koessel、Steven Adair和Thomas Lancaster写道：

在Volexity调查Dark Halo参与的第二次攻击时，观察到攻击者通过OWA访问了用户的电子邮件账户。这是让人吃惊的，因为目标邮箱受MFA保护。来自Exchange服务器的日志显示，攻击者提供的用户名和密码身份验证正常，但绕过了Duo的两步验证。而Duo身份验证服务器的日志却并未记录该用户的登录行为。Volexity确认，该攻击不涉及会话劫持，而是通过OWA服务器的内存转储，攻击者使用了与Duo MFA会话（duo-sid）绑定的cookie。

在双因素认证中，密码验证成功后，服务器会评估duo-sid cookie，并确定其是否有效。Volexity的调查发现，攻击者从OWA服务器访问了Duo集成密钥（akey）。然后，该密钥使攻击者可以在duo-sid cookie中设置预先计算的值。这使攻击者仅需获取用户帐户和密码就能完全绕过帐户的MFA验证机制。此事件强调了确保与密钥集成关联的所有机密（例如与MFA提供者的机密）应在发生泄露后进行更改的必要性。此外，重要的是，修改密码时不要使用与旧密码类似的新密码（例如，把旧密码Summer2020！改成Spring2020！）。

Volexity对Dark Halo的攻击描述表明，与其他安全研究人员的结论一致，那就是攻击者展现了极高的技术水平。

《华盛顿邮报》和《纽约时报》均援引了不具姓名的政府人士的说法，称发动“日爆攻击”的是APT黑客组织APT29，也被称为Cozy Bear，是俄罗斯联邦安全局（FSB）的一部分。

尽管本案例中的MFA多因素身份验证技术的提供者是Duo，但其他MFA技术也完全有可能被绕过。因为MFA威胁建模通常不包括对OWA服务器的系统性攻击。而黑客获得的访问权限级别也足以关闭几乎所有防御措施。

DUO发表的官方声明中写道：

思科公司的Duo Security注意到最近有安全研究人员发表了博客文章，讨论了在过去一年中从特定威胁参与者团体中观察到的多个安全事件。这些事件之一涉及Duo与Outlook Web Application（OWA）的集成。

事件的根源不是Duo产品中存在任何漏洞。而是攻击者从现有的受感染客户环境（例如电子邮件服务器）中获得了对集成凭据的特权访问，这些集成凭据对于Duo服务的管理是必不可少的。

为了减少发生此类事件的可能性，当务之急是保护集成秘密以防组织内暴露，并在怀疑有攻击的情况下轮换密钥。与MFA集成的服务被入侵，也能导致集成秘密的泄露，以及对MFA保护的系统和数据的非法访问。

Volexity说，Dark Halo的主要目标是获取智囊团内部特定个人的电子邮件。这家安全公司表示，Dark Halo是一个复杂的威胁参与者，与任何知名的威胁参与者没有任何联系。