Multifaktorautentisering är ett starkt försvar för att avvärja hackare från att ta över ditt konto. Men enligt ett nyligen upptäckt verkar två grupper – Lapsus$ och SolarWinds ha skapat en buckla i hur MFA fungerar. I det här inlägget kommer vi att diskutera vad det här handlar om och viktigast av allt är inte alla typer av multifaktorautentisering skapade lika.
Litt om multifaktorautentisering (MFA)
Om du har aktiverat Multifactor Authentication på ditt konto, så måste du, förutom användarnamnet och lösenordet som du anger när du loggar in på ditt konto, även använda en extra faktor. Detta kan vara ett engångslösenord som skickas till din smartphone eller på din e-post, ett fingeravtryck eller en fysisk säkerhetsnyckel.
MFA-formulär – en översikt
Alla MFA:er är inte skapade lika vad säkerheten beträffar. På senare tid har manusbarn som Lapsus$-datautpressningsgänget och Cozy Bear – Hotaktörerna bakom SolarWinds-hacket lyckats bryta ett visst MFA-skydd. De har använt en teknik som kallas MFA-promptbombning, något som vi kommer att diskutera lite senare i den här bloggen.
Innan vi diskuterar vad MFA-promptbombning är, låt oss först dyka in i två ramverk som Multifactor Authentication är baserad på –
Vad är MFA Prompt Bombing?
Konceptet MFA Prompt Bombing visar i början hur svag de äldre är? former av MFA är.
För att veta att många MFA-leverantörer låter dig ta emot ett telefonsamtal för att bekräfta autentiseringen eller skicka push-meddelanden som en andra faktor, har hotaktörer tidigare utfärdat flera Multifactor Authentication re uppdrag till en användares legitima enhet. Mer specifikt, enligt Mandiant-forskare, använde hotskådespelaren Cozy Bear, som också går under namnen APT29, Nobelium och Dukes, den här tekniken.
Men hur i hela friden gjorde hotaktörerna ett rep i offer att knacka på. Om autentisering?
En medlem av Lapsus$ skrev på gruppens officiella Telegram-kanal – "Ring den anställde 100 gånger klockan 01.00 medan han försöker sova, och han kommer med största sannolikhet att acceptera det. När den anställde accepterat det första samtalet kan du komma åt MFA-registreringsportalen och registrera en annan enhet.”
Vi kan se att hotaktören utnyttjade det faktum att ingen gräns sattes på antalet samtal som kunde göras. Dessutom skickas förfrågningarna till enheten om inte och tills användaren accepterar dem, och sedan, när det händer, får hotaktören tillgång till användarkontot.
Ganska överraskande (och oroväckande!), en LapSus $-medlem påstod sig ha lurat en Microsoft-anställd. Den här medlemmen sa "Kan logga in på en anställds Microsoft VPN från Tyskland och USA samtidigt och de verkade inte ens märka det. Kunde också återregistrera MFA två gånger.”
Mike Grover, som är en säljare av red-team hackingverktyg för säkerhetspersonal sa ”i grunden en enda metod som kräver många former: lura användaren att bekräfta en MFA-förfrågan. "MFA-bombning" har snabbt blivit en beskrivare, men detta saknar de mer smygande metoderna." Metoderna inkluderar –
Vill du ha några tekniker som många röda lag har använt för att kringgå MFA-skydd på konton? Ja, till och med versioner som inte går att nätfiska.
Jag delar så att du kan tänka på vad som kommer, hur du ska göra begränsningar, etc. Det ses mer i naturen nu för tiden.
1/n
— _MG_ (@_MG_) 23 mars 2022
- Att ringa måloffret som en del av företaget och ber dem att skicka en MFA-förfrågan som en del av företagets process.
- Skickar ett gäng MFA-förfrågningar i hopp om att måloffret äntligen ger efter och accepterar begäran om att stoppa bruset.
- Skickar 1-2 per dag. Här är chanserna fortfarande goda för godkännande av MFA-begäran.
Är tekniken att buckla MFA ny? Förmodligen inte och en forskare påpekade detta i en av tweetarna –
Lapsus$ uppfann inte 'MFA prompt bombing', snälla sluta kreditera dem wi de som skapade den.
Denna attackvektor har använts i verkliga attacker 2 år innan lapsus var en grej
— Greg Linares (@Laughing_Mantis) 25 mars 2022
Så betyder detta att FIDO2 är fullständigt bevis mot attacker?
I viss mån, ja! Det beror på att i fallet med FIDO2 behöver autentiseringen användarens enhet. MFA som använder FIDO2-formulär är knutna till en fysisk maskin och kan inte hända med en enhet som försöker ge åtkomst till en annan enhet.
Men vad händer om du tappar telefonen och bryter den, tappar din nyckel eller på något sätt bryta fingeravtrycksläsaren som finns på din bärbara dator? Eller vad händer om en hackare lurar en IT-administratör att återställa multifaktorautentisering och sedan registrera en ny enhet helt och hållet? Och vad händer om FIDO2-kompatibel MFA inte är ett alternativ i ditt fall?
Det är då MFA-promptbombningen i fallet med FIDO2 Forms of Multifactor Authentication kommer in –
- Om mekanismer för återställning av säkerhetskopiering används, angripare kan kasta sig ut på denna möjlighet.
- Anta att ett företag som använder FIDO2-former av MFA förlitar sig på en tredje part för att utföra funktioner eller hantera nätverket. Detta tredjepartsföretag använder svagare MFA-former för att komma åt företagets nätverk. Hela syftet med FIDO2 är besegrat här.
Nobelium kunde kringgå FIDO2 baserat överallt men i det här fallet kunde hackarna utnyttja offrets Active Directory där det kunde utnyttja databasverktyg som administratörerna använder för att skapa, ta bort eller ändra användarkonton eller tilldela dem auktoriseringsprivilegier.
AvslutningVi skulle vilja återinföra det faktum att med illvilliga aktörer som utvecklar starkare sätt att motverka MFA:er, starkare former borde användas. Med det sagt, att använda en MFA är fortfarande ett viktigt steg mot att skydda dina onlinekonton. Om du gillade det du läste, ge det här inlägget en tumme upp och dela dina åsikter i kommentarsfältet nedan.
Läs: 0
