0
0
Alguns dos ataques informáticos mais mediáticos dos últimos tempos estão a usar fragilidades dos sistemas de autenticação multifator para contornar proteções de segurança e serem bem-sucedidos nas suas tentativas. A técnica é usada, por exemplo, pelo Lapsus$ Group, que terá atacado o grupo Impresa em Portugal, a Microsoft, Nvidia e Samsung, e pelos autores do ataque à SolarWinds, os russos Cozy Bear.
A autenticação multifator (AMF), como o nome indica, acrescenta uma camada extra de proteção no acesso a uma conta ou serviço. Além de uma password e nome de utilizador, o acesso é condicionado à introdução de mais um elemento de segurança, que pode ser uma impressão digital, uma chave de segurança, uma senha de utilização única, entre outras opções.
As fórmulas mais usadas de AMF ainda não são as mais evoluídas e assentam sobretudo no recurso a senhas de utilização única enviadas por SMS, senhas geradas por sistemas de autenticação como o da Google, ou em chamadas que pedem ao utilizador para introduzir uma senha num determinado campo, ou por carregar numa tecla do equipamento.
Esta última estará a ser usada pelos russos do coletivo Cozy Bear, que também opera com os nomes Nobelium, APT29 e Dukes, assegura a empresa de segurança Mandiant. “Muitos fornecedores de AMF permitem que os utilizadores aceitem notificações da aplicação no telemóvel, para receber uma chamada telefónica ou carregar numa tecla como segundo fator”, sublinha um relatório citado pela ARS Technica que analisa um ataque do grupo. O documento também refere que “o fator de ameaça [a Nobelium] tirou partido disso para lançar vários pedidos de AMF ao dispositivo legítimo do utilizador final até o utilizador aceitar a autenticação, permitindo que o actor da ameaça acabasse por obter acesso à conta”.
No canal do Lapsus$ Group no Telegram há referência à utilização da mesma técnica, sublinhando que os sistema de AMF que usam esta opção não estabelecem limites ao número de chamadas que é possível fazer, para validar o fator adicional de autenticação. “Ligue ao empregado 100 vezes à 1 da manhã enquanto ele tenta dormir, e é mais do que provável que ele aceite a chamada. Assim que a chamada inicial for aceite é possível aceder ao portal de inscrição da AMF e inscrever outro dispositivo”, explica-se.
O mesmo interlocutor garante que foi esta a técnica usada no ataque à Microsoft, que entretanto admitiu que o ataque partiu do acesso ao portátil de um dos seus colaboradores. Na publicação do membro do Lapsus$ Group acrescenta-se que o método permitiu “entrar na VPN da Microsoft através de um empregado na Alemanha e outro nos EUA ao mesmo tempo e eles parecem nem sequer ter reparado. Também permitiu voltar a inscrever a senha AMF duas vezes”, assegura o hacker.
Em declarações à ARS Technica, um especialista em segurança, Mike Grover, explicou que este é no entanto apenas um dos métodos usados para colocar em prática uma técnica que é conhecida como MFA Bombing. As principais são o envio massivo de pedidos de autenticação até que o utilizador aceite, para parar de ouvir as notificações; enviar esses pedidos de forma mais espaçada, uma a dois por dia, com o mesmo objetivo mas dando menos nas vistas; ou contactar o alvo para que este envie um pedido de autenticação multifator, fazendo parecer que o contacto é da empresa e o processo é legítimo.
Este tipo de ataques não são novos, o facto de estarem a ser cada vez mais usados por diferentes grupos de hackers é a principal novidade e o maior sinal de alerta, em relação à necessidade de avançar para soluções mais modernas de AMF.
Não existe nenhuma 100% segura, mas as formas que assentam na FIDO2, pelo menos previnem algumas brechas que estão a ser exploradas nestas ferramentas ao obrigar, por exemplo, que a autenticação seja feita na mesma máquina onde a conta vai ser usada. O Nobelium é um dos grupos que já conseguiu ter sucesso em ataques com sistemas de AMF que usam FIDO2.
A framework FIDO2 foi desenvolvida por um consórcio de empresas e faz depender o acesso a uma conta ou serviço da confirmação de identidade, através de uma impressão digital, chave de segurança dedicada ou imagem recolhida pela câmara integrada no dispositivo através do qual esse acesso vai ser feito.
FONTE: SAPOTEK