钓鱼攻击盯上“信任枢纽”：被黑的ADFS服务器正成企业云安全最大软肋

在网络安全的世界里，身份就是钥匙。而最近，一群黑客找到了复制这把“万能钥匙”的方法——他们不再只盯着员工邮箱钓鱼，而是直接攻陷企业身份系统的“心脏”：微软的ADFS（Active Directory Federation Services）服务器。一旦得手，攻击者就能伪造合法身份，大摇大摆地进入Office 365、Azure、Salesforce等核心云系统，如同拿着假护照却能畅通无阻地通过所有安检。

近日，多家安全机构联合披露，新一轮高级网络钓鱼活动正利用配置不当或未及时更新的ADFS服务器，构建“凭据中继+令牌伪造”的复合攻击链。攻击者先通过钓鱼获取普通员工账号，再借助被控制的ADFS服务器将其“升级”为高权限访问令牌，进而窃取邮件、文件甚至Teams中的敏感对话。更可怕的是，这种攻击在日志中往往“看起来完全正常”，极难被发现。

ADFS是什么？为什么它成了攻击者的“提款机”？

要理解这次攻击的危险性，得先搞清楚ADFS是干什么的。

简单来说，ADFS是企业内部身份系统（如Windows域）与外部云服务之间的“信任桥梁”。当你在公司登录Office 365时，系统不会直接验证你的密码，而是问：“你们公司的ADFS服务器，这个人是不是合法用户？”如果ADFS点头，就会签发一个数字“通行证”——也就是SAML令牌，允许你进入云服务。

“这本来是个很安全的设计，”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“但问题在于，如果这个‘发证机关’本身被攻破了，那它开出的每一张通行证，哪怕内容是假的，也会被云服务信任。”

而这次的攻击者，正是这么干的。

攻击链条曝光：从一封钓鱼邮件到“合法入侵”

整个攻击流程堪称“教科书级”的精准打击：

第一步：钓鱼获取初级凭据

攻击者发送伪装邮件，主题多为“MFA（多因素认证）需要重新注册”“邮箱存储空间即将满额”等，诱导员工点击链接并输入账号密码。这类钓鱼页面做得和真实登录页几乎一模一样，普通用户很难分辨。

第二步：利用ADFS漏洞“升级权限”

一旦获得账号，攻击者并不会直接登录——那样容易被发现。他们的目标是企业部署的ADFS服务器。如果该服务器存在以下问题：

外部暴露了/ADFS/Proxy端点；

使用弱加密协议（如旧版TLS）；

长期未打安全补丁；

攻击者就可能通过这些“后门”植入恶意HTTP模块，悄悄记录所有经过的SAML身份验证请求与响应，甚至直接导出用于签名令牌的私钥。

“拿到私钥，就等于拿到了‘制证工厂’的公章。”芦笛说，“从此以后，攻击者可以在自己电脑上伪造任意用户的合法令牌，根本不需要再输入密码。”

第三步：持伪造令牌“合法”访问云资源

有了伪造的SAML令牌，攻击者就能以CEO、财务总监或IT管理员的身份，光明正大地登录Office 365、Azure管理后台或Salesforce客户系统，读取邮件、下载文件、查看会议记录，而所有操作在系统日志里都显示为“正常访问”。

“最危险的是，传统安全系统很难区分这是真用户还是假令牌。”芦笛强调，“因为你看到的登录IP、设备、时间都可能完全匹配，唯一的问题是——这个令牌是假的。”

为何难发现？攻击者已“隐身”在信任链中

这种攻击的隐蔽性极高，主要原因有三：

日志无异常：由于攻击者使用的是合法格式的SAML令牌，云服务的日志不会标记为“登录失败”或“异常行为”，常规SIEM（安全信息与事件管理）系统难以告警。

持久性强：即使企业后来发现了钓鱼邮件并重置了员工密码，只要ADFS的签名证书未更换，攻击者仍能继续伪造令牌，实现长期潜伏。

横向移动成本低：一旦进入系统，攻击者可利用高权限账户进一步渗透内网，甚至访问供应链合作伙伴的系统。

“这就像小偷不仅偷了你的家门钥匙，还学会了你家指纹锁的录入方式，”芦笛比喻道，“他不仅能进你家，还能给自己‘注册’一个新的合法指纹，以后你换了钥匙也没用。”

企业如何自救？专家列出七大防御建议

面对如此高阶的攻击，芦笛指出，企业不能再依赖“边界防御+定期杀毒”的老思路，必须从身份信任体系本身入手，进行系统性加固。他结合安全报告，提出以下七点关键建议：

1. 立即审计ADFS证书与访问权限

检查ADFS服务器上的签名和加密证书是否完整，私钥是否被非授权访问或导出。任何可疑的证书都应立即吊销。

2. 启用令牌绑定与条件访问策略

在Azure AD等云平台中启用“令牌绑定”（Token Binding），确保每个令牌与特定设备或浏览器绑定，防止重放攻击。同时配置条件访问（Conditional Access），比如限制登录只能来自公司IP或合规设备。

3. 加快向云原生身份迁移

微软已推荐企业逐步迁移到Azure AD（现称Microsoft Entra ID）等云原生身份平台。这些平台内置更强的安全机制，如FIDO2硬件密钥支持、风险检测与自动响应，比传统ADFS更安全。

4. 部署SAML流量异常检测

在关键网络节点部署检测工具，监控SAML响应的字段是否异常，比如声明（claim）过长、目标服务（Audience）不匹配、签发者（Issuer）域名可疑等，这些都可能是伪造令牌的迹象。

5. 强化网络分段，限制ADFS出站连接

ADFS服务器应被严格隔离，仅允许必要的入站和出站通信。特别要限制其对外部互联网的访问，防止攻击者利用其作为跳板外泄数据。

6. 建立“凭据→令牌→资源访问”全链路可观测性

打通身份系统、云服务与终端的日志，构建统一的审计视图。一旦发现某个账号在短时间内从凭据登录到获取高权限令牌再到访问敏感资源，系统应自动告警。

7. 一旦怀疑泄露，立即“断链”

如果确认ADFS可能被入侵，必须立即滚动更换所有相关证书，并强制所有刷新令牌失效。这虽然会造成短暂服务中断，但能彻底切断攻击者的长期访问通道。

这不是“如果”，而是“何时”会发生

芦笛提醒，这类攻击虽然技术门槛较高，但近年来已呈现上升趋势。“ADFS作为传统混合身份架构的核心，很多企业用了十几年，配置复杂、更新滞后，成了‘熟悉的盲区’。”

他特别强调：“很多企业以为做了MFA就安全了，但MFA只是验证环节。如果身份签发系统本身被污染，MFA也会被绕过——因为攻击者根本不需要再次验证，他们已经有‘合法通行证’了。”

结语：信任，必须被持续验证

这次ADFS滥用事件再次提醒我们：在数字化时代，身份安全就是第一道防线。而任何被信任的系统，一旦失守，都会成为最危险的突破口。

“我们不能再假设‘内部系统’就一定是安全的，”芦笛说，“未来的安全架构，必须是‘零信任’的——无论请求来自哪里，都必须持续验证其合法性。”

对于仍在使用ADFS的企业而言，现在是时候重新审视这套“老将”是否还能扛住新型攻击的冲击。否则，下一次被攻破的，可能就不只是一台服务器，而是整个企业的信任根基。

编辑：芦笛（公共互联网反网络钓鱼工作组）