0
0
À medida que os usuários on-line se tornam cada vez mais conscientes e usam a autenticação multifatorial (MFA), os atacantes estão desenvolvendo novas maneiras de contornar a tecnologia — e muitas vezes com grande sucesso.
No início deste mês, por exemplo, a empresa de segurança Proofpoint informou sua divulgação de vulnerabilidades críticas no Microsoft WS-Trust que poderiam ser usadas para contornar o MFA em serviços de nuvem que usam a tecnologia — entre eles, o Microsoft 365. Um ataque poderia ter permitido que um cibercriminoso usasse credenciais obtidas de phishing e dumps de credenciais para entrar no Office 365, Azure e outros serviços da Microsoft, afirmou o Proofpoint.
Essas vulnerabilidades são uma maneira de trabalhar em torno da segurança adicional fornecida pelo MFA. Embora especialistas em segurança enfatizem que o MFA melhora a segurança geral dos usuários on-line, vulnerabilidades exploráveis e decisões ruins dos usuários podem minar essas proteções.
“Quando se trata de segurança na nuvem, o MFA não é uma bala de prata”, disse Or Safran, análise sênior de detecção de ameaças no Proofpoint, em uma análise das vulnerabilidades. “À medida que mais organizações adotarem a tecnologia, mais vulnerabilidades serão descobertas e abusadas pelos invasores. No entanto, o MFA pode melhorar a postura geral de segurança, especialmente quando combinado com a visibilidade de ameaças centrada nas pessoas e controles de acesso adaptativos.”
À medida que mais pessoas acessam contas valiosas on-line, a autenticação de dois fatores (2FA) e o MFA se tornaram mais populares. Em um relatório de dezembro de 2019, a empresa de segurança Duo Security descobriu que a adoção do 2FA entre os usuários quase dobrou em dois anos, com 53% dos entrevistados da pesquisa usando 2FA para algumas de suas contas (contra 28% em 2017). Mais de dois terços dos mais jovens — 34 anos ou mais – usaram o 2FA em algumas contas, enquanto apenas um terço das pessoas com 65 anos ou mais usou a tecnologia, segundo o estudo.
As vulnerabilidades críticas encontradas pelo Proofpoint são os mais recentes cenários de exploração para atingir as tecnologias de segurança cada vez mais populares. No ano passado, o FBI alertou que os cibercriminosos haviam adotado uma variedade de medidas para contornar ou contornar o MFA. Em um exemplo citado de 2019, um erro de injeção de código no site de uma instituição bancária permitiu que os invasores inserissem “uma string manipulada” no campo multifatorial, em vez de um PIN, e contornassem o segundo fator, de acordo com a assessoria do FBI.
No entanto, embora tais desvios técnicos não sejam raros, muito mais comuns são os esforços dos atacantes para se inserirem no processo MFA e roubar senhas ou tokens de segurança. Contornar o MFA muitas vezes se resume a tirar vantagem de usuários crédulos, diz Roger Grimes, analista de defesa orientado a dados da KnowBe4, uma empresa de treinamento de segurança.
“Os ataques amplos que spammers e phishers geralmente enviam para coletar credenciais — o MFA pode prevenir esses tipos de ataques”, diz ele. “Mas quando os atacantes sabem que o usuário tem MFA, muitas vezes prova não ser uma grande barreira e, em alguns casos, torna ainda mais fácil.”
A manifesto to change our mindsets and truly revolutionize effective application protection.Brought to you by Virsec Systems, Inc.
The most common type of MFA attack is to intercept the one-time passcode. Real-time attacks use a man-in-the-middle proxy to grab the one-time password that the user enters into what they believe to be a legitimate site. In 2019, cybersecurity researchers released a tool, dubbed Muraena, that allows the harvesting of the second factor. A common target is the widely deployed technology for sending one-time passwords via text messages, a defense so broken that the National Institute of Standards and Technology (NIST) warned against its use in May 2016.
Another common approach is to steal the security token sent to the user to simplify future logins. Reusing the token can allow an attacker to access the user’s account. Finally, technical attacks on the software, often targeting support for legacy security technologies, can allow widespread attacks on services protected by MFA.
“From our perspective in monitoring email, cloud, and hybrid attacks, the largest increase in threat activity has been tied to malicious third-party apps abusing OAuth tokens, which Microsoft calls ‘consent phishing,'” says Ryan Kalember, executive vice president of cybersecurity strategy at Proofpoint.
As melhores tecnologias atualmente para limitar os ataques são aquelas baseadas no mais recente padrão FAST Identity Online (FIDO), FIDO2, que usa a identidade do dispositivo para endurecer o processo de autenticação contra invasores remotos, e uma variedade de tecnologias push que alertam o usuário em um dispositivo registrado de qualquer tentativa de acesso e exige que eles aprovem esse acesso.
“Há muita porcaria lá fora, mas também há boas soluções, e elas estão desenvolvendo soluções melhores”, diz Grimes, da KnowBe4. “Mas tudo é hackeável, então, além disso, você precisa treinar seus usuários finais para reconhecer os ataques. Só porque você tem MFA não significa que você não pode ser hackeado.”
FONTE: DARK READING