多因素身份驗證 (MFA) 原本旨在彌補身分安全方面的關鍵漏洞。這意味著,即使攻擊者掌握了帳戶憑證,如果沒有第二個驗證因素,他們也無法登入。雖然這種邏輯看似合理,但攻擊者現在已經發現,他們無需竊取第二個驗證因素:只需用戶主動提供即可。
如果您的員工使用基於推送的多因素身份驗證 (MFA),那麼這種攻擊對您的組織構成現實威脅。 Specops Secure Access等工具正是為彌補這一漏洞而設計的,但在了解如何修復之前,有必要先了解這種技術的工作原理。
多因素身份驗證 (MFA) 提示轟炸的工作原理
此攻擊需要三個關鍵要素才能奏效:
✔ 有效的帳戶憑證,通常來自暗網上洩漏的密碼。
✔ 使用推送式多因素身份驗證(例如 VPN、Microsoft 365、Okta 或 Duo)的登入門戶
✔ 每次攻擊者嘗試登入時,受害者都會收到警報。
攻擊者會反覆觸發提示,試圖欺騙目標或迫使其批准請求。有時,攻擊者會將提示轟炸與偽裝成IT部門的語音釣魚電話結合起來,試圖透過社會工程誘騙目標。危險之處在於,這些方法只需有效一次即可。如果批准了該提示,攻擊者就會以該使用者的身分登入。由於登入看起來完全合法,安全系統通常不會發出警報。
思科外洩事件
2022 年思科安全漏洞事件充分說明了這種攻擊手段即使面對成熟的安全程序也同樣有效。一名與 Yanluowang 勒索軟體組織有關聯的攻擊者入侵了一名思科員工的個人 Google 帳戶,該帳戶會同步瀏覽器中儲存的憑證,其中包括該員工的思科 VPN 密碼。
攻擊者隨後向該員工的手機推送了多因素身份驗證 (MFA) 提示。起初這招並不奏效,於是他們開始使用語音釣魚電話,冒充可信的支援機構,用各種口音說話,最後說服該員工接受推播通知。
一旦攻擊者成功登錄,便可冒充員工存取VPN。隨後,他們將自己的設備註冊為多因素身份驗證(MFA)以維持存取權限,並逐步提升至管理員權限,最終存取了Citrix伺服器和網域控制器,竊取了約2.8GB的數據,之後才被系統驅逐。連思科這樣一家安全防護嚴密的公司都未能倖免於「快速轟炸」攻擊,凸顯了此類攻擊的危險性和有效性。
為什麼推行多因素身份驗證並不能消除風險
推送式多因素身份驗證的問題在於,用戶在幾乎沒有任何資訊的情況下就被要求批准或拒絕登入。系統無法明確指示請求的來源、使用的設備,甚至無法確定登入嘗試是否由使用者發起。單獨來看,這或許還能勉強應付。但當提示訊息反覆出現時,使用者很容易誤以為是系統故障,而不是意識到這可能是潛在的攻擊。
如果此時有人冒充IT支援人員打來電話,情況就更難判斷了。這時,使用者並非疏忽大意,而是在應對一個精心設計的、看似例行公事的場景,而攻擊者早已掌握了用戶的憑證。
組織機構預防突發性轟炸的三種方法
- 使用抗疲勞和抗釣魚的多因素身份驗證因素
推播通知是目前最弱的常見多因素身份驗證方式。而像FIDO2安全金鑰、YubiKey等硬體令牌或身份驗證器應用程式中的碼匹配驗證碼等防釣魚因素則更難被濫用。
Specops Secure Access支援超過 15 個身分識別提供者,並包含適用於 Windows 登入、RDP 和 VPN 連線的抗疲勞選項,因此組織可以棄用高風險存取點的僅推送 MFA。
- 從源頭封鎖洩漏的密碼
只有當攻擊者已經掌握有效密碼時,才能成功發動密碼轟炸。持續掃描 Active Directory (AD) 並比對已洩露密碼的即時資料庫,並在發現匹配項時強制重設密碼,可以有效阻止此類攻擊。依賴預設的 AD 密碼原則無法偵測到重複使用的密碼、增量密碼或已洩漏的密碼。如果您不清楚目前的安全狀況,Specops Password Auditor是一款免費的 AD 唯讀掃描工具,可標記出諸如密碼外洩或管理員帳號不活躍等漏洞。
- 在登入中加入風險訊號
考慮地理位置、裝置狀態和登入時間等因素的條件存取策略,可以在向使用者手機發送提示之前阻止或加強身份驗證。這減少了對用戶行為的單純依賴,並引入了即時上下文訊息,從而在可疑登入升級為帳戶盜用之前將其攔截。
MFA仍然重要
MFA 提示轟炸並非放棄 MFA 的理由,但它確實凸顯了某些機制的缺點。當審批請求可以在沒有任何實際意義的情況下反覆觸發時,控制機制就比預期更容易被操控。
如果推播驗證仍然是您的預設第二重驗證方式,那麼值得重新考慮一下。數位配對或防釣魚驗證方法可以增強多因素身份驗證 (MFA) 本身的安全性,而掃描洩漏密碼則可以降低攻擊者掌握第一重驗證資訊的風險。
資料來源:https://thehackernews.com/2026/05/mfa-prompt-bombing-why-your-second.html