0
0
A Microsoft vem pressionando pelo uso da autenticação multifator (MFA) para impedir os invasores há muitos anos.
Mas os agentes de ameaças estão acompanhando a crescente adoção corporativa da MFA e estão constantemente criando maneiras de contornar a proteção adicional que ela oferece.
Já vimos ataques envolvendo troca de SIM , exploração de vulnerabilidades , aplicativos não autorizados , protocolos de autenticação herdados , bombardeio de prompt de MFA (também conhecido como fadiga de MFA ), cookies de sessão roubados e kits de phishing ( personalizados ) com capacidade de desvio de MFA.
Mais recentemente, os pesquisadores da Mandiant e da Mitiga documentaram diferentes abordagens que permitem que os invasores usem (mal) o Microsoft MFA a seu favor.
Invasores assumem contas inativas da Microsoft e configuram MFA
Douglas Bienstock, gerente de RI da Mandiant, compartilhou na semana passada uma nova tática do APT29 (também conhecido como Cozy Bear, também conhecido como Nobelium) e outros agentes de ameaças que envolvem o aproveitamento do processo de autoinscrição para MFA no Azure Active Directory e outras plataformas.
Ao implementar a MFA, a maioria das organizações e plataformas permite que os usuários registrem seu primeiro dispositivo MFA no próximo login. Para fazer isso, o usuário deve ter apenas o nome de usuário e a senha corretos, o que significa que um invasor que tenha esse conhecimento pode acessar a conta e configurar o MFA para ela.
“Em um caso, o APT29 realizou um ataque de adivinhação de senha contra uma lista de caixas de correio que eles obtiveram por meios desconhecidos. O agente da ameaça adivinhou com sucesso a senha de uma conta que havia sido configurada, mas nunca usada. Como a conta estava inativa, o Azure AD solicitou que o APT29 se registrasse no MFA. Uma vez registrado, o APT29 pôde usar a conta para acessar a infraestrutura de VPN da organização que estava usando o Azure AD para autenticação e MFA”, explicou Bienstock .
A Mandiant recomenda que as organizações garantam que todas as contas ativas tenham pelo menos um dispositivo MFA registrado e trabalhem com seu fornecedor de plataforma para adicionar verificações adicionais ao processo de registro MFA.
No Microsoft Azure AD, as organizações podem usar o Acesso Condicional para restringir o registro de dispositivos MFA apenas a locais confiáveis ou dispositivos confiáveis, acrescentou ele, e podem optar por exigir que o MFA registre o MFA e emita Passes de Acesso Temporário aos funcionários quando eles ingressarem ou se eles perderem o dispositivo MFA.
Os invasores configuram um segundo aplicativo Authenticator para contas comprometidas
Em uma campanha de phishing recentemente descoberta pela Microsoft, os golpistas do BEC visaram usuários do Office 365 (ou seja, Microsoft 365) e contornaram com sucesso a configuração do MFA para proteger as contas usando servidores proxy e sites de phishing para roubar a senha e o cookie de sessão dos usuários.
Mas isso aparentemente não foi tudo: os respondentes de incidentes da Mitiga também descobriram que os invasores configuraram um segundo aplicativo Authenticator para a conta comprometida para que pudessem acessar a conta sempre que quisessem.
É improvável que o proprietário legítimo de uma conta comprometida dessa forma detecte que o segundo aplicativo MFA foi adicionado.
“Só é óbvio se alguém procurar especificamente por isso. Se alguém for ao portal de segurança M365, eles o verão; mas a maioria dos usuários nunca vai a esse lugar. É onde você pode alterar sua senha sem ser solicitado ou alterar um aplicativo autenticador. No uso diário, as pessoas só alteram as senhas quando solicitadas pelo prompt ou quando mudam de telefone e desejam mover o aplicativo autenticador”, disse o CTO da Mitiga, Ofer Maor, ao Help Net Security.
Além disso, um prompt isolado e aleatório para o segundo fator de autenticação acionado pelo invasor pode facilmente não ser visto ou ignorado pelo proprietário legítimo da conta.
“Eles são solicitados, mas assim que o invasor se autentica no outro autenticador, esse prompt desaparece. Não há pop-up ou qualquer coisa que diga ‘esta solicitação foi aprovada por outro dispositivo’ (ou algo desse tipo) para alertar o usuário sobre o risco. É claro que a notificação do prompt em seu telefone pode permanecer no histórico de notificações, mas se for feita quando o usuário não estiver prestando atenção em seu telefone, é provável que desapareça”, observou Maor.
“Quando investigamos, o usuário acabou lembrando que houve uma vez em que foi solicitado, mas depois entrou no aplicativo e não havia nada lá (porque a essa altura o invasor já havia aprovado em seu telefone). No entanto, eles não prestaram muita atenção a isso.”
Ele também destacou que a maioria dos usuários não entende completamente todo o mecanismo de MFA ou tem consciência para prestar atenção nele, especialmente porque os computadores fazem muitas coisas que eles “não entendem”.
O problema aqui é que a Microsoft não exige um novo desafio de MFA para acessar e alterar os métodos de autenticação do usuário, acrescentou .
“Isso significa que, uma vez que uma conta tenha sido comprometida, mesmo por um período de tempo extremamente curto, é possível criar persistência usando essa técnica, para que um invasor possa reautenticar com MFA quando a sessão expirar ou for revogada. É importante observar que, mesmo que uma organização coloque um prazo de expiração de MFA rigoroso de um dia, isso ainda não impedirá a criação para o invasor com essa técnica.”
FONTE: HELPNET SECURITY