黑客欺骗Microsoft ADFS登录页面以窃取凭据

admin 2025年2月13日16:55:36评论17 views字数 1122阅读3分44秒阅读模式

黑客欺骗Microsoft ADFS登录页面以窃取凭据

服务台网络钓鱼活动主要针对Microsoft Active Directory Federation Services(ADFS),使用欺骗性的登录页面来窃取凭据和绕过多因素身份验证(MFA)保护措施。据发现该攻击的安全公司称,此次攻击的目标主要是教育、医疗和政府机构,攻击目标至少有150个。

这些攻击旨在访问公司电子邮件帐户,以将电子邮件发送给组织内的其他受害者或进行经济攻击(例如商业电子邮件妥协(BEC)),将此付款转移到威胁者的帐户中。

黑客欺骗Microsoft ADFS登录页面以窃取凭据
欺骗Microsoft Active Directory联合服务

Microsoft Active Directory Federation Services(ADFS)是一个身份验证系统,允许用户登录一次并访问多个应用程序和服务,而无需重复输入其凭据。它通常在大型组织中用于在基于内部和云的应用程序中提供单登录(SSO)。

攻击者会向冒充其公司IT团队的目标发送电子邮件,要求他们登录以更新其安全设置或接受新策略。

黑客欺骗Microsoft ADFS登录页面以窃取凭据

攻击中使用的网络钓鱼电子邮件示例

点击“嵌入式”按钮会将受害者带到一个看起来与他们组织的真实ADFS登录页面一模一样的网络钓鱼网站。网络钓鱼页面要求受害人输入其用户名,密码和MFA代码,或引导他们批准推送通知。

黑客欺骗Microsoft ADFS登录页面以窃取凭据

欺骗的ADFS门户

网络钓鱼模板还包括基于组织配置的MFA设置来捕获验证目标帐户所需的特定第二因素的表单,针对多种常用MFA机制的异常观察到的模板,包括Microsoft Authenticator,Duo Security和SMS验证。

黑客欺骗Microsoft ADFS登录页面以窃取凭据

两个可用的MFA旁路屏

一旦受害者提供了所有详细信息,他们就会被重定向到合法的登录页面,以减少怀疑,并使其看起来好像这个过程已经成功完成。

同时,攻击者立即利用窃取的信息登录受害者的帐户,窃取任何有价值的数据,创建新的电子邮件过滤规则,并尝试横向网络钓鱼。

安全公司表示,攻击者在这次活动中使用私人互联网接入VPN来掩盖他们的位置,并分配一个更接近组织的IP地址。

即使这些网络钓鱼攻击并没有直接违反ADF,而是依靠社会工程来工作,但由于许多用户对登录工作流的固有信任,该策略仍然是具有潜在有效性的。

安全工作人员建议相关企业应迁移到现代和更安全的解决方案,如Microsoft Entra,并引入额外的电子邮件过滤器和异常活动检测机制,以尽早阻止网络钓鱼攻击。

参考及来源:https://www.bleepingcomputer.com/news/security/hackers-spoof-microsoft-adfs-login-pages-to-steal-credentials/

黑客欺骗Microsoft ADFS登录页面以窃取凭据

黑客欺骗Microsoft ADFS登录页面以窃取凭据

原文始发于微信公众号(嘶吼专业版):黑客欺骗Microsoft ADFS登录页面以窃取凭据

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月13日16:55:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客欺骗Microsoft ADFS登录页面以窃取凭据https://cn-sec.com/archives/3736668.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息