L'autenticazione a più fattori rappresenta una solida difesa per impedire agli hacker di impossessarsi del tuo account. Ma, secondo una recente scoperta, due gruppi – Lapsus$ e SolarWinds sembrano aver creato un’ammaccatura nel modo in cui funziona l’MFA. In questo post discuteremo di cosa si tratta e, cosa più importante, non tutti i tipi di autenticazione a più fattori sono uguali.
Un po' di autenticazione a più fattori (MFA)
Se tu hai attivato la Multifactor Authentication sul tuo account, quindi, oltre al nome utente e alla password che fornisci durante l'accesso al tuo account, devi utilizzare anche un ulteriore fattore. Potrebbe trattarsi di una password monouso inviata al tuo smartphone o tramite email, un'impronta digitale o una chiave di sicurezza fisica.
Moduli MFA: una panoramica
Non tutti i MFA sono creati uguali per quanto riguarda la sicurezza. Nel recente passato, script kiddie come la banda di estorsori di dati di Lapsus $ e Cozy Bear: gli autori delle minacce dietro l'hacking di SolarWinds sono riusciti a violare alcune protezioni MFA. Hanno utilizzato una tecnica nota come MFA Prompt Bombing, qualcosa di cui parleremo più avanti in questo blog.
Prima di discutere su cosa sia il MFA Prompt Bombing, analizziamo innanzitutto i 2 framework su cui si basa l'autenticazione a più fattori. –
Che cos'è il MFA Prompt Bombing?
Il concetto di MFA Prompt Bombing, all'inizio, mostra quanto siano deboli i vecchi forme di MFA.
Conoscendo il fatto che molti fornitori di MFA consentono di ricevere una telefonata per confermare l'autenticazione o inviare notifiche push come secondo fattore, in passato gli autori delle minacce hanno emesso più attacchi di autenticazione a più fattori ricerche sul dispositivo legittimo di un utente. Più specificamente, secondo i ricercatori di Mandiant, l'attore di minacce Cozy Bear, noto anche sotto i nomi APT29, Nobelium e Dukes, ha utilizzato questa tecnica.
Ma come diavolo hanno fatto gli attori di minacce a intrappolare le vittime? Sull'autenticazione?
Un membro di Lapsus$ ha scritto sul canale Telegram ufficiale del gruppo: “Chiama il dipendente 100 volte all'una di notte mentre sta cercando di dormire e molto probabilmente accetterà. Una volta che il dipendente accetta la chiamata iniziale, è possibile accedere al portale di registrazione MFA e registrare un altro dispositivo."
Come possiamo vedere, l'autore della minaccia ha sfruttato il fatto che non era stato posto alcun limite al numero di chiamate effettuate potrebbe essere fatto. Inoltre, le richieste vengono inviate al dispositivo a meno che e finché l'utente non le accetta e, una volta che ciò accade, l'autore della minaccia ottiene l'accesso all'account dell'utente.
In modo piuttosto sorprendente (e allarmante!), un LapSus Il membro $ ha affermato di aver ingannato un dipendente Microsoft. Questo membro ha dichiarato: "Sono riuscito ad accedere contemporaneamente alla VPN Microsoft di un dipendente dalla Germania e dagli Stati Uniti e sembra che non se ne siano nemmeno accorti. Inoltre, sono riuscito a iscrivere nuovamente l'MFA due volte."
Mike Grover, venditore di strumenti di hacking red-team per professionisti della sicurezza, ha affermato "fondamentalmente un unico metodo che richiede molti moduli: ingannare l'utente per riconoscere una richiesta MFA. Il “bombardamento dell’MFA” è diventato rapidamente un descrittore, ma questo non tiene conto dei metodi più furtivi”. I metodi includono –
Vuoi alcune tecniche che molti Red Team hanno utilizzato per aggirare le protezioni MFA sugli account? Sì, anche le versioni "non phishing".
Condivido in modo che tu possa pensare a cosa accadrà in futuro, a come applicherai le mitigazioni, ecc. Ultimamente si vede di più in natura.
1/n
— _MG_ (@_MG_) 23 marzo 2022
- Chiamare la vittima bersaglio come parte del azienda e chiedendo loro di inviare una richiesta di MFA come parte del processo aziendale.
- Inviare una serie di richieste di MFA nella speranza che la vittima presa di mira alla fine si arrenda e accetti la richiesta per fermare il rumore.
- Invio 1-2 al giorno. Qui le possibilità di accettazione della richiesta di MFA sono ancora buone.
La tecnica per intaccare l'AMF è nuova? Probabilmente no, e un ricercatore lo ha sottolineato in uno dei tweet:
Lapsus$ non ha inventato il "prompt bombing MFA", per favore smettila di attribuirgli credito loro per averlo creato.
Questo vettore di attacco è stato utilizzato negli attacchi nel mondo reale 2 anni prima che lapsus fosse una cosa
— Greg Linares (@Laughing_Mantis) 25 marzo 2022
Questo significa quindi che FIDO2 è completamente a prova di attacchi?
In una certa misura, sì! Questo perché nel caso di FIDO2 l’autenticazione necessita del dispositivo dell’utente. L'MFA che utilizza i moduli FIDO2 è legata a una macchina fisica e non può accadere a un dispositivo che tenta di fornire l'accesso a un dispositivo diverso.
Ma cosa succede se lasci cadere il telefono e lo rompi, perdi la chiave o rompere in qualche modo il lettore di impronte digitali presente sul tuo laptop? E cosa succederebbe se un hacker inducesse con l’inganno un amministratore IT a reimpostare l’autenticazione a più fattori e quindi a registrare completamente un nuovo dispositivo? Inoltre, cosa succede se l'MFA conforme a FIDO2 non è un'opzione nel tuo caso?
È allora che entra in gioco il prompt bombing dell'MFA nel caso dei moduli di autenticazione a più fattori FIDO2 –
- Se vengono utilizzati meccanismi di ripristino del backup, gli aggressori potrebbero cogliere questa opportunità.
- Supponiamo che un'azienda che utilizza forme FIDO2 di MFA si affidi a terzi per l'esecuzione di funzioni o la gestione della rete. Questa società terza utilizza moduli MFA più deboli per accedere alle reti dell'azienda. Qui viene vanificato l'intero scopo di FIDO2.
Nobelium è riuscito a bypassare FIDO2 basato ovunque ma in questo caso gli hacker sono riusciti a sfruttare l'Active Directory della vittima dove è riuscito a sfruttare il strumenti di database che gli amministratori utilizzano per creare, eliminare o modificare gli account utente o assegnare loro privilegi di autorizzazione.
ConcludendoVorremmo ripristinare il fatto che, con gli autori malintenzionati che sviluppano modi più forti per contrastare gli MFA, forme più forti dovrebbe essere usato. Detto questo, l’utilizzo di un MFA è ancora un passo essenziale verso la protezione dei tuoi account online. Se ti è piaciuto ciò che hai letto, metti un pollice in su a questo post e condividi le tue opinioni nella sezione commenti qui sotto.
leggi: 0
