AWS上周披露,Amazon的威胁情报团队发现并破坏了一个来自俄罗斯黑客组织APT29的水坑攻击,目的是借由滥用微软的设备验证流程,以让黑客所控制的设备合法登录微软服务。
当用户要以一台新设备或新应用程序登录微软账号时,系统可能会直接提供一组设备代码;同时要求用户以既有的设备扫描QR Code以进入微软官方身份验证网页,并输入该设备代码,来确认并赋予该设备权限。
根据AWS的调查,黑客破坏了许多的合法网站,并注入恶意的JavaScript,接着随机将大约10%的访问者重定向至APT29所控制的域名,包括findcloudflare“.”com或cloudflare“.”redirectpartners“.”com等模仿Cloudflare验证页面的域名,其最终目标是滥用微软设备代码身份验证流程,来让自己的设备获得微软权限。
由于在申请设备代码时,并不需要事先绑定特定用户账号,黑客可以先以自己控制的设备向微软请求登录并取得设备代码,再将该代码置入伪造的验证页面,引导受害者于官方登录页输入,最终将账号的登录授权绑定到黑客的设备上。
黑客除了只锁定10%访客,还利用base64编码来包装恶意程序代码,并通过Cookie避免访客频繁被导向,也在恶意网址被封锁后,马上就能激活新网址。
AWS在发现黑客的行为之后,立即隔离了那些受到影响的EC2执行实例,与Cloudflare及其他供应商合作破坏黑客域名,也知会了微软。而APT29也在行迹暴露后,从AWS迁移到其他的云计算服务供应商。
AWS建议一般用户应该要对重导页面提高警觉,确认设备代码授权请求来源,激活多因素验证,以及小心可疑的操作指令,对于IT管理人员,则应检查与限制设备验证流程,采用条件式访问政策,强化监控与日志,并应强制使用多因素验证。
