一项全球网络钓鱼活动正在积极利用传统的Microsoft身份验证系统来窃取用户凭据并绕过多因素身份验证(MFA)，目标是超过150个组织。

Abnormal Security的研究显示，一项复杂的网络钓鱼活动正在利用Microsoft Active Directory联合身份验证服务(ADFS)中的漏洞来破坏用户帐户并绕过多因素身份验证(MFA)。

攻击者采用了社交工程和技术操纵相结合的手段。钓鱼电子邮件模仿合法通知，将受害者引诱到伪造的ADFS登录页面。这些电子邮件通常使用紧急语气，警告所谓的更新或政策变更，并包含合法的品牌、徽标甚至联系信息以显得真实。

URL混淆和缩短链接进一步隐藏了恶意目的地。值得注意的是，攻击者会个性化网络钓鱼页面以匹配目标组织特定的MFA设置，例如定制推送通知的提示以及Microsoft Authenticator、Duo Security和SMS验证等机制。

网络钓鱼登陆页面复制了组织的ADFS门户，动态提取徽标和设计元素，从而创建令人信服的仿冒品。虽然可能存在一些客户端验证，但该页面不会根据组织的系统验证凭据，因为任何用户名和密码组合都可以接受。

下一步是获取用户的双重身份验证。钓鱼模板旨在收集各种MFA因素，包括身份验证器应用程序的代码、短信甚至推送通知。这些信息与被盗凭证一起被传递给攻击者。

为了完成欺骗，受害者在提交信息后会被重定向到真正的ADFS登录页面，从而强化登录成功的假象。利用窃取的凭证和MFA详细信息，攻击者继续进行帐户接管(ATO)，通常使用VPN来掩盖其位置。入侵后的活动通常包括内部侦察、设置邮件过滤规则以隐藏其存在以及发起横向网络钓鱼攻击。

横向网络钓鱼从受感染的帐户发送，利用组织内已建立的信任关系。这些电子邮件通常模仿合法的通信模式，以同事和同事为目标。邮件过滤规则通常带有欺骗性的名称和模糊的关键字（例如，将“Hish”表示为“Phish”），可帮助攻击者不被发现。

Abnormal Security的报告中写道：“这种方法利用细致入微的心理战术来利用人类的弱点并强化虚假的合法感。”

研究表明，此次攻击活动针对了各个行业的150多个组织。教育行业受到的影响最大，占攻击总数的50%，其次是医疗保健行业（14.8%）、政府部门（12.5%）、科技行业（6.3%）和交通运输行业（3.4%）。从地理位置上看，攻击主要集中在美国，但加拿大、澳大利亚和欧洲也报告了此类事件。

报告表明，攻击者正在利用许多组织尚未切换到微软现代身份平台Entra的事实。ADF依赖在技术采用较慢的行业中尤为普遍，这强调了优先迁移到现代解决方案和采用多层安全方法的必要性。

KnowBe4的数据驱动防御宣传员Roger Grimes对此事发表了评论，他告诉我们，这是他们第一次听说伪造的ADFS登录页面，这暗示了此次活动的复杂性。

“我是一名拥有36年经验的网络安全专家，著有15本书（其中一本是关于黑客攻击MFA的，另外还有1500多篇文章）。这是我第一次读到有关虚假ADFS登录页面的文章，但ADFS之前曾参与绕过MFA身份验证，因此在黑客领域使用它并不完全是新鲜事。”

Roger警告说：“所有用户都应尽可能使用防网络钓鱼的MFA。不幸的是，当今大多数最流行的MFA解决方案，包括Microsoft Authenticator、Google Authenticator、Duo、基于推送的MFA、OTP和基于SMS的MFA，都很容易受到网络钓鱼攻击，并且容易受到此处报告的攻击类型。”