0
0
À medida que as empresas exigem cada vez mais versões mais fortes de segurança para seus funcionários e clientes, os invasores estão melhorando em contornar a autenticação multifator (MFA), resultando em um fluxo constante de comprometimentos, como o anúncio desta semana de um vazamento de dados na empresa de segurança cibernética LastPass e o anunciado violação no serviço de mídia social Reddit no início de fevereiro.
Embora existam várias maneiras de contornar a falha de segurança da autenticação de dois fatores (2FA) que usa senhas de uso único (OTPs) enviadas por meio de textos de serviço de mensagens curtas (SMS), os sistemas protegidos por notificações push ou usando tokens de hardware são considerados muito mais difíceis de compromisso. No entanto, os invasores usaram um trio de técnicas para contornar a segurança adicional: inundação de MFA, ataques de proxy e seqüestro de sessão – focados no usuário, na rede e no navegador, respectivamente.
“Na maioria das vezes, os invasores estão contornando formas mais fracas de MFA, especialmente aquelas que usam SMS, [mas] há muitas técnicas que os invasores usam para contornar o MFA, incluindo inundação de MFA, troca de SIM e ataque no ataques intermediários”, diz Matt Caulfield, CEO da Oort, um provedor de segurança de identidade.
MFA Inundação e Fadiga
O primeiro alvo dos invasores geralmente é o humano por trás do teclado. No geral, 82% das violações envolveram o “elemento humano” e mais de 80% das violações de aplicativos da Web são atribuídas ao uso de credenciais roubadas, de acordo com o “Relatório de investigações de violação de dados de 2022 (DBIR)” da Verizon .
A inundação de MFA, em que um invasor tenta repetidamente fazer login usando credenciais roubadas para criar uma enxurrada de notificações por push, visa aproveitar a fadiga dos usuários para avisos de segurança. “As notificações por push são um passo à frente do SMS, mas são suscetíveis a inundações de MFA e ataques de fadiga de MFA, bombardeando a vítima com notificações na esperança de que cliquem em ‘Permitir’ em uma delas”, diz Caulfield.
Outra tática popular – o ataque de redefinição de conta – visa enganar o suporte técnico para dar aos invasores o controle de uma conta-alvo, uma abordagem que levou ao comprometimento bem-sucedido do canal Slack do desenvolvedor da Rockstar Games da Take-Two Interactive, criadora do Grand Theft Franquia de automóveis.
“Um invasor comprometerá as credenciais de um usuário e, em seguida, se passará por um fornecedor ou funcionário de TI e solicitará ao usuário um código de verificação ou a aprovação de um prompt de MFA em seu telefone”, diz Jordan LaRose, diretor de prática de segurança de infraestrutura do NCC Group. “Os invasores geralmente usam as informações que já comprometeram como parte do ataque de engenharia social para induzir os usuários a uma falsa sensação de segurança”.
Ataques de sequestro de sessão e pass-the-cookie
Depois que um trabalhador faz login em uma conta online ou serviço de nuvem, um cookie de sessão contendo as credenciais de autenticação do usuário é normalmente definido e permanece ativo até que o usuário finalize a sessão efetuando logout. Uma tática pós-compromisso comum é o invasor coletar todos os cookies no cache do navegador para uso potencial como um seqüestro de sessão ou ataque de passagem de cookie . Malware como Emotet tem essa funcionalidade como um recurso regular.
Outras variantes desse ataque usam scripts entre sites ou extensões de navegador maliciosas para assumir o controle da sessão de um usuário depois que ele passa pela barreira do MFA, diz LaRose, do NCC Group.
“O objetivo final dessa técnica é atacar a sessão do usuário indiretamente e, portanto, não interagir com os controles de segurança mais fortes no fluxo de login”, diz ele.
Ataques de proxy e AitM
Por fim, os invasores podem tentar comprometer a infraestrutura entre o dispositivo do usuário e um serviço em nuvem ou site online. Usando um servidor comprometido ou mal-intencionado para interceptar solicitações do usuário e do servidor de destino, um ataque de proxy — ou ataque de adversário no meio (AitM) — permite que ciberataques obtenham o mecanismo de autenticação em tempo real.
“Isso permite que os invasores contornem a maioria dos métodos disponíveis de MFA, já que o usuário está fornecendo ao site, e o hacker, tanto o nome de usuário quanto a senha e autenticação adicional”, Drew Trumbull, líder da equipe de resposta a incidentes do Escritório de Segurança da Informação da University of North Carolina, disse em uma revisão da técnica .
A técnica pode ter contribuído para a violação do LastPass, onde “o agente da ameaça conseguiu capturar a senha mestra do funcionário assim que foi inserida, após a autenticação do funcionário com o MFA”, de acordo com o comunicado da empresa .
Reiniciando a Matriz
Para se defender dos ataques mais recentes, as empresas devem implantar MFA resistente a phishing , que consiste em algo que você possui, como uma chave de hardware, e algo que você é, como uma biometria. Soluções-chave de hardware comuns, como o Yubikey, tornaram o MFA resistente a phishing mais fácil de implantar, diz LaRose, do NCC Group.
Infelizmente, ainda há obstáculos para as empresas adotarem chaves de hardware, dificultando a obtenção de uma cobertura completa, diz Caulfield, da Oort.
“Apenas a logística de enviar chaves de segurança baseadas em hardware para todos os funcionários e gerenciar o processo quando eles as perdem pode ser um pesadelo”, diz ele. “Enviar laptops e chaves de segurança para contratados é ainda mais difícil.”
E com o aumento da sobrecarga para gerenciar os dispositivos, surge outro caminho para os invasores: redefinir uma conta após um dispositivo perdido ou roubado. Ao fingir ser a vítima, um invasor pode alegar ter perdido um dispositivo, permitindo que ele registre um novo fator ao entrar ou agir durante um período de carência de reinicialização, diz Caulfield da Oort.
“Redefinições de MFA são um enorme desafio”, diz ele. “É provável que veremos os invasores mudando do fator como uma fraqueza para o processo de registro e redefinição”.
E, de fato, em vez de usar um token de hardware, é muito mais provável que funcionários e consumidores assinem uma pergunta de segurança ou usem um OTP baseado em tempo (TOTP) recebido por e-mail ou SMS. Quase 80% dos usuários entrevistados no provedor de identidade Okta, por exemplo, usam e-mail como um segundo fator – e quase 40% recebem um TOTP por meio de um aplicativo – enquanto apenas cerca de 5% usam um token ou Yubikey, de acordo com Oort ‘s Relatório “Estado de Segurança de Identidade de 2023” . Os usuários do Azure AD e Duo Security mostram preferências semelhantes, observou o relatório, com perguntas de segurança e senhas SMS dominando os números de inscrição.
FONTE: DARK READING