多因素认证

对手可能会禁用或修改多因素认证 (MFA) 机制，以便对被破坏的账户进行持久访问。 一旦对手通过破坏缺乏 MFA 的账户或使用 MFA 绕过方法（例如多因素认证请求生成）获得对网络的访问权限，对手可能会利用其访问权限修改或完全禁用 MFA 防御。这可以通过滥用合法功能来实现，例如将用户排除在 Azure AD 条件访问策略之外，注册新的但易受攻击/对手控制的 MFA 方法，或通过手动修补 MFA 程序和配置文件以绕过预期功能。(引用: Mandiant APT42)(引用: Azure AD 条件访问排除) 例如，修改 Windows 主机文件 (C:\windows\system32\drivers\etc\hosts) 以将 MFA 调用重定向到本地主机而不是 MFA 服务器，可能会导致 MFA 过程失败。如果存在“失败开放”策略，则任何其他成功的身份验证尝试可能会在不强制执行 MFA 的情况下被授予访问权限。(引用: 俄罗斯人利用默认 MFA 协议 - CISA 2022 年 3 月) 根据对手的范围、目标和权限，MFA 防御可能会针对单个账户或与更大组相关的所有账户（例如受害者网络环境中的所有域账户）被禁用。(引用: 俄罗斯人利用默认 MFA 协议 - CISA 2022 年 3 月)