Multifaktorautentisering er et sterkt forsvar for å avverge hackere fra å overta kontoen din. Men ifølge et nylig funn ser det ut til at to grupper – Lapsus$ og SolarWinds har skapt en bulk i måten MFA fungerer på. I dette innlegget vil vi diskutere hva dette handler om, og viktigst av alt er ikke alle typer multifaktorautentisering skapt like.
Litt om multifaktorautentisering (MFA)
Hvis du har aktivert Multifactor Authentication på kontoen din, så må du, i tillegg til brukernavnet og passordet du oppgir når du logger på kontoen din, også bruke en tilleggsfaktor. Dette kan være et engangspassord som sendes til smarttelefonen eller på e-posten din, et fingeravtrykk eller en fysisk sikkerhetsnøkkel.
MFA-skjemaer – en oversikt
Ikke alle MFAer er skapt like når det gjelder sikkerhet. I den siste tiden har manusbarn som Lapsus$-datautpressingsgjengen og Cozy Bear – Trusselaktørene bak SolarWinds-hacket lyktes med å bryte en viss MFA-beskyttelse. De har brukt en teknikk kjent som MFA Prompt Bombing, noe som vi vil diskutere litt senere i denne bloggen.
Før vi diskuterer hva MFA Prompt Bombing er, la oss først dykke ned i 2 rammeverk som Multifactor Authentication er basert på –
Hva er MFA Prompt Bombing?
Konseptet MFA Prompt Bombing, i utgangspunktet, viser hvor svak de eldre er. former for MFA er.
Ved å vite at mange MFA-leverandører lar deg motta en telefonsamtale for å bekrefte autentiseringen eller sende push-varslinger som en annen faktor, har trusselaktører tidligere utstedt flere multifaktorautentiseringer. oppdrag til en brukers legitime enhet. Mer spesifikt, ifølge Mandiant-forskere, brukte trusselskuespilleren Cozy Bear, som også går under navnene APT29, Nobelium og Dukes, denne teknikken.
Men hvordan i all verden gjorde trusselaktørene et tau til ofre for å tappe Om autentisering?
Et medlem av Lapsus$ skrev på gruppens offisielle Telegram-kanal – “Ring den ansatte 100 ganger klokken 1 mens han prøver å sove, og han vil mer enn sannsynlig godta det. Når den ansatte godtar den første samtalen, kan du få tilgang til MFA-registreringsportalen og registrere en annen enhet. kunne lages. Videre sendes forespørslene til enheten med mindre og til brukeren godtar dem, og så, når det skjer, får trusselaktøren tilgang til brukerkontoen.
Ganske overraskende (og alarmerende!), en LapSus $-medlem hevdet å ha lurt en Microsoft-ansatt. Dette medlemmet sa "Kunne logge på en ansatts Microsoft VPN fra Tyskland og USA samtidig, og de så ikke engang ut til å legge merke til det. Var også i stand til å re-registrere MFA to ganger.»
Mike Grover, som er en selger av red-team hackingverktøy for sikkerhetseksperter sa «i grunnen er en enkelt metode som krever mange skjemaer: lure brukeren til å bekrefte en MFA-forespørsel. "MFA-bombing" har raskt blitt en beskrivelse, men dette går glipp av de mer snikende metodene." Metodene inkluderer –
Vil du ha noen teknikker som mange røde lag har brukt for å omgå MFA-beskyttelse på kontoer? Ja, til og med "unphishable" versjoner.
Jeg deler slik at du kan tenke på hva som kommer, hvordan du vil gjøre avbøtende tiltak osv. Det blir sett mer i naturen i disse dager.
1/n
— _MG_ (@_MG_) 23. mars 2022
- Å ringe målofferet som en del av selskapet og ber dem sende en MFA-forespørsel som en del av selskapets prosess.
- Sende en haug med MFA-forespørsler i håp om at målofferet til slutt gir etter og godtar forespørselen om å stoppe støyen.
- Sender 1-2 per dag. Her er sjansene for aksept av MFA-forespørsel fortsatt gode.
Er teknikken for å bulke MFA ny? Sannsynligvis ikke, og en forsker påpekte dette i en av tweetene –
Lapsus$ oppfant ikke 'MFA prompt bombing', vennligst slutt å kreditere dem wi th dem som skaper den.
Denne angrepsvektoren har vært en ting som ble brukt i angrep fra den virkelige verden 2 år før lapsus var en ting
— Greg Linares (@Laughing_Mantis) 25. mars 2022
Så betyr dette at FIDO2 er fullstendig bevis mot angrep?
Til en viss grad, ja! Det er fordi når det gjelder FIDO2, trenger autentiseringen brukerens enhet. MFA som bruker FIDO2-skjemaer er knyttet til en fysisk maskin og kan ikke skje med én enhet som prøver å gi tilgang til en annen enhet.
Men hva om du slipper telefonen og bryter den, mister nøkkelen eller bryte fingeravtrykkleseren på den bærbare datamaskinen på en eller annen måte? Eller hva om en hacker lurer en IT-administrator til å tilbakestille multifaktorautentisering og deretter registrere en ny enhet helt? Hva om FIDO2-kompatibel MFA ikke er et alternativ i ditt tilfelle?
Det er da MFA-promptbombing i tilfelle FIDO2 Forms of Multifactor Authentication kommer inn –
- Hvis mekanismer for tilbakestilling av sikkerhetskopiering brukes, kan angripere kaste seg over denne muligheten.
- La oss si at et selskap som bruker FIDO2-former for MFA er avhengig av en tredjepart for å utføre funksjoner eller administrere nettverket. Dette tredjepartsselskapet bruker svakere MFA-former for å få tilgang til selskapets nettverk. Hele formålet med FIDO2 er beseiret her.
Nobelium var i stand til å omgå FIDO2 basert overalt, men i dette tilfellet var hackerne i stand til å utnytte offerets Active Directory der det var i stand til å utnytte databaseverktøy som administratorene bruker til å opprette, slette eller endre brukerkontoer eller tildele dem autorisasjonsprivilegier.
AvslutningVi vil gjerne gjeninnføre det faktum at med ondsinnede aktører som utvikler sterkere måter å motarbeide MFAer, sterkere former burde bli brukt. Når det er sagt, er bruk av en MFA fortsatt et viktig skritt mot beskyttelsen av nettkontoene dine. Hvis du likte det du leste, gi dette innlegget en tommel opp og del synspunktene dine i kommentarfeltet nedenfor.
Les: 0
