7.R7.1.1 Uber 2022:MFA 疲勞與內部工具擴散
7.R7.1.1 Uber 2022:MFA 疲勞與內部工具擴散
事故摘要
2022 年 9 月,攻擊者先取得承包商帳號,再透過重複 MFA 請求與社交工程進入內部系統,後續接觸到多個內部管理工具。
本案例的演示焦點:social engineering → MFA push fatigue → 既有身份接入內部高權限工具的 identity-chain 失效。供應鏈植入、邊界零時差、資料外送量級壓力等其他 threat surface 由 supply-chain / edge-exposure / data-exfiltration 案例分類承擔。
攻擊路徑
- 取得初始帳號。
- 以 MFA fatigue 增加使用者誤同意機率。
- 使用已登入身份接觸內部高權限工具。
- 擴大可見範圍並造成營運干擾。
失效控制面
- 高風險登入路徑缺少 step-up 驗證。
- 內部工具授權邊界不足,初始落點可快速擴散。
- 身分異常事件與值班告警串接不足。
如果 workflow 少一步會發生什麼
若值班流程缺少「異常 MFA 請求密度」檢查,團隊會把登入異常當成一般使用者問題,導致處置時間延後、擴散面增加。
可落地的 workflow 檢查點
- 發布前:高風險操作要求 phishing-resistant 強認證(WebAuthn / passkey、阻擋可被連續同意的 push approval)+ 裝置信任綁定(managed device / posture check),mechanism 是讓「同意」不再是攻擊者唯一所需的人類動作。
- 日常:監控 authentication 異常事件(短時內 MFA 請求密度、跨地理 / 跨裝置序列)與 on-call 升級規則。
- 事故中:快速凍結可疑身分、切斷高權限工具存取(依賴內部工具事先有 token revocation 與 session kill 能力)、建立 incident timeline。
從本案例到實作的 chain
本案例是事故敘事 layer,沿三步 chain 進入 implementation:
- 失效樣式:第三方授權濫用 + 權限提升流程濫用 —— 把本案例的 mechanism 抽象為可重用失效樣式。
- 控制面:7.2 身分與授權邊界 + 7.3 入口與伺服端保護 —— mitigation 的 mechanism / 前提 / context-dependence 在這裡定義。
- 演練 / 控制落地:Identity support token tabletop + Credential hygiene pattern —— 把樣式轉成 tabletop 與 release gate 欄位。
來源
| 來源 | 類型 | 可引用範圍 |
|---|---|---|
| uber.com | 官方 | 攻擊者進入路徑、影響範圍與第一手時序 |
| cisa.gov | 政府/監管 | Scattered Spider / UNC3944 TTP、跨組織 social engineering |
| cloud.google.com | 技術分析 | Mandiant 對 social engineering、SIM swap、後續勒索鏈 telemetry |