一夥為不法分子提供攻擊工具的黑客找到了一種非常巧妙的方法，能夠繞過目標網絡的多因素身份驗證（MFA）系統。根據安全公司Volexity本週一發布的博文，他們在2019年年末和2020年年初發現了這些攻擊者的踪跡，並不少於3次利用該方法潛入某些機構內部。

在一次入侵期間，Volexity 的研究人員注意到黑客使用一種新穎技術繞過了Duo 提供的MFA 保護。在受感染的網絡上獲得管理員特權後，黑客使用這些不受束縛的權限從運行Outlook Web App 的服務器上竊取了名為akey （企業為各種網絡服務提供帳號身份驗證）的Duo 機密。

然後，黑客使用akey 生成cookies。因此，當擁有正確用戶名和密碼的用戶登錄之後，黑客就能通過cookies 接管賬戶。Volexity 認為該方法是由黑客集團 Dark Halo 提供的。研究人員Damien Cash，Matthew Meltzer，Sean Koessel，Steven Adair 和Thomas Lancaster 寫道：

在Volexity 對Dark Halo 的第二次調查進入尾聲的時候，研究人員觀察到黑客通過Outlook Web App 訪問了用戶的電子郵件賬戶。出於某些原因，這是完全意外的，最重要的原因是目標郵箱是受到MFA 保護的。

來自Exchange服務器的日誌顯示，攻擊者提供的用戶名和密碼身份驗證正常，但沒有通過Duo受到第二方面的挑戰。來自Duo身份驗證服務器的日誌進一步表明，未嘗試登錄到該帳戶。Volexity能夠確認不涉及會話劫持，並且通過OWA服務器的內存轉儲，還可以確認攻擊者提供了與名為duo-sid的Duo MFA會話綁定的cookie。

Volexity對這一事件的調查確定，攻擊者已從OWA服務器訪問了Duo集成密鑰（akey）。然後，該密鑰使攻擊者可以得出在duo-sid cookie中設置的預先計算的值。成功進行密碼身份驗證後，服務器評估了duo-sid cookie並確定其有效。

這使攻擊者知道用戶帳戶和密碼，然後完全繞過帳戶上設置的MFA。此事件強調了確保與密鑰集成關聯的所有機密（例如與MFA提供者的機密）在發生洩露後應進行更改的必要性。此外，重要的是，不僅要在違規後更改密碼，而且不要將密碼設置為與以前的密碼類似的內容（例如，Summer2020！vs Spring2020！或SillyGoo $ e3 vs SillyGoo $ e2）。