Многофакторная аутентификация — это надежная защита, предотвращающая захват хакерами вашей учетной записи. Но, согласно недавнему исследованию, две группы — Lapsus$ и SolarWinds, похоже, внесли свой вклад в работу MFA. В этом посте мы обсудим, что это такое, и, что наиболее важно, не все виды многофакторной аутентификации одинаковы.
Немного о многофакторной аутентификации (MFA)
Если вы активировали многофакторную аутентификацию в своей учетной записи, то помимо имени пользователя и пароля, которые вы указываете при входе в свою учетную запись, вам также необходимо использовать дополнительный фактор. Это может быть одноразовый пароль, отправленный на ваш смартфон или на электронную почту, отпечаток пальца или физический ключ безопасности.
Формы MFA – обзор
Не все MFA созданы равными в том, что касается безопасности. В недавнем прошлом такие дети-скрипторы, как банда по вымогательству данных Lapsus$ и Cozy Bear – злоумышленники, стоящие за взломом SolarWinds, успешно взломали некоторую защиту MFA. Они использовали технику, известную как «оперативная бомбардировка MFA», о которой мы поговорим чуть позже в этом блоге.
Прежде чем мы обсудим, что такое «оперативная бомбардировка MFA», давайте сначала углубимся в две платформы, на которых основана многофакторная аутентификация. –
Что такое мгновенная бомбардировка MFA?
Концепция быстрой бомбардировки MFA с самого начала показывает, насколько слабы старые формы MFA.
Зная тот факт, что многие поставщики MFA позволяют вам получить телефонный звонок для подтверждения аутентификации или отправить push-уведомления в качестве второго фактора, злоумышленники в прошлом выдавали несколько повторов многофакторной аутентификации. квесты на законное устройство пользователя. В частности, по мнению исследователей Mandiant, эту технику использовал злоумышленник Cozy Bear, который также известен под названиями APT29, Nobelium и Dukes.
Но как же злоумышленники привязывали жертв к прослушиванию? Об аутентификации?
Участник Lapsus$ написал на официальном Telegram-канале группы: «Позвоните сотруднику 100 раз в час ночи, пока он пытается заснуть, и он, скорее всего, примет это. Как только сотрудник примет первоначальный звонок, вы сможете получить доступ к порталу регистрации MFA и зарегистрировать другое устройство».
Как мы видим, злоумышленник воспользовался тем фактом, что на количество звонков не было установлено никаких ограничений. можно было бы сделать. Более того, запросы отправляются на устройство до тех пор, пока пользователь не примет их, а затем, как только это произойдет, злоумышленник получит доступ к учетной записи пользователя.
Совершенно удивительно (и тревожно!), LapSus Участник $ утверждал, что обманул сотрудника Microsoft. Этот участник сказал: «Могу одновременно войти в Microsoft VPN сотрудника из Германии и США, но они, похоже, даже не заметили». Также мне удалось дважды повторно зарегистрировать MFA».
Майк Гровер, продавец хакерских инструментов для специалистов по безопасности, сказал, что < «по сути, это один метод, требующий многих формы: обманом заставляет пользователя подтвердить запрос MFA. «Бомбардировка МИД» быстро стала дескриптором, но здесь не учитываются более скрытые методы». Эти методы включают в себя:
Хотите некоторые методы, которые многие красные команды используют для обхода защиты MFA в учетных записях? Да, даже «нефишируемые» версии.
Я делюсь этим, чтобы вы могли подумать о том, что будет дальше, как вы будете смягчать последствия и т. д. В наши дни это все чаще встречается в дикой природе.
1/n
— _MG_ (@_MG_) 23 марта 2022 г.
- Вызов целевой жертвы в рамках компании и просить их отправить запрос MFA в рамках процесса компании.
- Отправка нескольких запросов MFA в надежде, что целевая жертва наконец сдастся и примет запрос, чтобы прекратить шум.
- Отправка 1-2 в день. Здесь шансы на принятие запроса MFA по-прежнему высоки.
Является ли метод предотвращения MFA новым? Вероятно, нет, и один исследователь указал на это в одном из твитов –
Lapsus$ не изобрел «мгновенную бомбардировку МИД», пожалуйста, перестаньте приписывать им заслуги считают, что они его создали.
Этот вектор атаки использовался в реальных атаках за два года до того, как появился провал.
— Грег Линарес (@Laughing_Mantis), 25 марта 2022 г.
Значит ли это, что FIDO2 полностью защищен от атак?
В некоторой степени да! Это связано с тем, что в случае FIDO2 для аутентификации требуется устройство пользователя. MFA с использованием форм FIDO2 привязан к физическому компьютеру и не может произойти с одним устройством, которое пытается предоставить доступ к другому устройству.
Но что, если вы уроните телефон и сломаете его, потеряете ключ или как-то сломать сканер отпечатков пальцев, присутствующий на вашем ноутбуке? Или что, если хакер обманом заставляет ИТ-администратора сбросить многофакторную аутентификацию, а затем вообще зарегистрировать новое устройство? Кроме того, что, если MFA, совместимая с FIDO2, не является вариантом в вашем случае?
Именно тогда наступает моментальная бомбардировка MFA в случае форм многофакторной аутентификации FIDO2 –
- Если используются механизмы сброса резервного копирования, злоумышленники могут воспользоваться этой возможностью.
- Предположим, компания, использующая формы MFA FIDO2, полагается на третью сторону для выполнения функций или управления сетью. Эта сторонняя компания использует более слабые формы MFA для доступа к сетям компании. Вся цель FIDO2 здесь терпит поражение.
Nobelium смог обойти FIDO2, базирующийся повсюду, но в этом случае хакеры смогли использовать Active Directory жертвы, где он смог использовать инструменты базы данных, которые администраторы используют для создания, удаления или изменения учетных записей пользователей или назначения им привилегий авторизации.
ЗаключениеМы хотели бы подтвердить тот факт, что по мере того, как злоумышленники разрабатывают более эффективные способы противодействия MFA, более сильные формы должен быть использован. При этом использование MFA по-прежнему является важным шагом на пути к защите ваших онлайн-аккаунтов. Если вам понравилось то, что вы прочитали, поставьте лайк этому посту и поделитесь своим мнением в разделе комментариев ниже.
Читать: 0
