2FA Bypass工具突出了顶级业务安全漏洞

安全研究员发布了一个概念验证工具，可以绕过Gmail和其他服务使用的双因素身份验证（2FA），以突出显示企业安全性最容易被利用的弱点。

根据波兰安全研究员PiotrDuszyński，社会工程是一个严重的威胁，无法轻视待遇。

“多年来我的渗透测试经验，我找到了社会工程最简单，最有效的方法可以妥善立足到我的客户内部网络，”Duszyński在博客帖子中写道。

他说，攻击者知道，没有必要利用保护周边的零点漏洞，因为所有这些都需要损害安全性以访问敏感数据所需的一切是“只是几个电子邮件或电话”。

为了强调这一事实，Duszyński表示他使用Go编程语言创建了“ModlichKA”工具，使网络钓鱼活动窃取合法的用户凭据尽可能有效。

在GitHub上提供的反向代理工具以及用户指南可用于绕过当前使用的大多数使用的2FA身份验证方案，并使用Duszyński表示他已剥削“很长一段时间”的技术。

他进一步证明了该工具的创建和发布，这对想要进行有效的网络钓鱼活动以及组织的红色组织练习来测试他们的网络防御的有效性来证明它应该是有用的。

该工具将用户和合法站点之间的不易察觉的网络钓鱼站点放在中间风格攻击中的经典男人，以收获包括第二因子认证代码的凭证，因此不要求攻击者创建一个假设网站的诀窍用户进入他们的详细信息。

然而，这种反向代理技术对使用通用第二因子（U2F）的2FA方案不适用于一种物理认证设备，它使用加密和私钥来保护和解锁支持的帐户。

因为它仅对依赖移动文本发送的代码的计划，Duszyński表示并不意味着2FA被打破，但这确实意味着傲慢和组织需要更多地关注网络钓鱼和其他形式的社会工程，旨在窃取合法用户凭据。

“如果您不想始终验证浏览器的URL地址栏中的域名是否不某种恶意或担心，如果还有另一个URL欺骗错误，则考虑切换到U2F协议，”他说。

然而，Duszyński警告说，除了允许URL欺骗和缺乏用户意识的浏览器错误之外，该技术意味着一些组织可以向银板上的对手送到最有价值的资产。

“最后，如果没有足够的用户意识，即使是最复杂的安全防御系统也可能失败，反之亦然，”他说。“

Eset UK网络安全专家Jake Moore警告说，Duszyński的概念验证理念可用于目标攻击，尽管它需要正确的受害者落下网络钓鱼攻击，并且攻击者需要监控被盗的凭据在代码到期之前，实时登录目标帐户，2FA代码。

“这不是一种巨大的网络钓鱼运动的技术，但绝对是首席执行官要意识到的，”他说。“它还强调需要教育人们对网络钓鱼电子邮件的必要性，他们是否有必要在狡猾的链接中输入私人数据。”

摩尔指出，2FA安全代码上的时间限制将有助于减轻这种类型的攻击，因为攻击者将有更短的时间来使用2FA安全代码。他还表示，Authenticator应用程序通常具有更短的时间尺寸来键入每个代码，这将限制攻击者利用使用Duszyński工具收集的代码的能力。

Inaugust 2018，Reddit虽然使用2FA，但仍然是使用2FA的密码违约，根据移动文本消息暴露2FA的弱点。

虽然除了密码之外，虽然2FA是广泛推荐的，但作为提高账户安全的一种方式，冗长使用的移动文本（SMS）2FA，已知已缺陷。

“我们了解到，随着我们希望的，SMS的身份验证并不像我们希望的那样安全，并且主要攻击是通过短信拦截的，”Reddit在Astatement中说。“我们指出这一点，鼓励每个人都搬到基于令牌的2FA。”