La autenticación multifactor es una fuerte defensa para evitar que los piratas informáticos se apoderen de su cuenta. Pero, según un hallazgo reciente, dos grupos: Lapsus$ y SolarWinds parecen haber hecho mella en la forma en que funciona MFA. En esta publicación, analizaremos de qué se trata esto y, lo más importante, no todos los tipos de autenticación multifactor son iguales.
Un poco sobre la autenticación multifactor (MFA)
Si Si ha activado la autenticación multifactor en su cuenta, entonces, además del nombre de usuario y la contraseña que proporciona al iniciar sesión en su cuenta, también debe utilizar un factor adicional. Podría ser una contraseña de un solo uso que se envía a su teléfono inteligente o a su correo electrónico, una huella digital o una clave de seguridad física.
Formularios MFA: descripción general
No todos los MFA son creados iguales en lo que a seguridad se refiere. En el pasado reciente, los guionistas como la banda de extorsión de datos Lapsus$ y Cozy Bear: los actores de amenazas detrás del hack de SolarWinds han logrado romper algunas protecciones de MFA. Han utilizado una técnica conocida como MFA Prompt Bombing, algo que analizaremos más adelante en este blog.
Antes de analizar qué es el MFA Prompt Bombing, primero profundicemos en dos marcos en los que se basa la autenticación multifactor. –
¿Qué es MFA Prompt Bombing?
El concepto de MFA Prompt Bombing, al principio, muestra cuán débiles son los usuarios más antiguos. Las formas de MFA lo son.
Sabiendo el hecho de que muchos proveedores de MFA le permiten recibir una llamada telefónica para confirmar la autenticación o enviar notificaciones automáticas como segundo factor, los actores de amenazas en el pasado han emitido múltiples autenticación multifactor. misiones al dispositivo legítimo de un usuario. Más específicamente, según los investigadores de Mandiant, el actor de amenazas Cozy Bear, que también lleva los nombres de APT29, Nobelium y Dukes utilizó esta técnica.
Pero, ¿cómo diablos los actores de amenazas acorralaron a las víctimas para aprovecharlas? ¿Sobre la autenticación?
Un miembro de Lapsus$ escribió en el canal oficial de Telegram del grupo: “Llame al empleado 100 veces a la 1 am mientras intenta dormir y lo más probable es que lo acepte. Una vez que el empleado acepta la llamada inicial, puede acceder al portal de inscripción de MFA e inscribir otro dispositivo”.
Como podemos ver, el actor de amenazas aprovechó el hecho de que no se impuso ningún límite a la cantidad de llamadas que Puede hacerse. Además, las solicitudes se envían al dispositivo a menos y hasta que el usuario las acepte, y luego, una vez que eso sucede, el actor de la amenaza obtiene acceso a la cuenta del usuario.
De manera bastante sorprendente (¡y alarmante!), un LapSus El miembro de $ afirmó haber engañado a un empleado de Microsoft. Este miembro dijo: "Podía iniciar sesión en la VPN de Microsoft de un empleado desde Alemania y EE. UU. al mismo tiempo y ni siquiera parecieron darse cuenta". También pude volver a inscribir a MFA dos veces".
Mike Grover, vendedor de herramientas de piratería del equipo rojo para profesionales de la seguridad, dijo "fundamentalmente, un método único que requiere muchos formularios: engañar al usuario para que reconozca una solicitud de MFA. “Bombardeo MFA” se ha convertido rápidamente en una descripción, pero esto pasa por alto los métodos más sigilosos”. Los métodos incluyen:
¿Quiere conocer algunas técnicas que muchos equipos rojos han estado utilizando para eludir las protecciones MFA en las cuentas? Sí, incluso versiones “no phishing”.
Las comparto para que puedas pensar en lo que viene, cómo harás las mitigaciones, etc. Se ve más en la naturaleza estos días.
1/n
— _MG_ (@_MG_) 23 de marzo de 2022
- Llamar a la víctima objetivo como parte del empresa y pedirles que envíen una solicitud de MFA como parte del proceso de la empresa.
- Enviar un montón de solicitudes de MFA con la esperanza de que la víctima objetivo finalmente ceda y acepte la solicitud para detener el ruido.
- Enviando 1-2 por día. Aquí las posibilidades de aceptación de la solicitud de MFA siguen siendo buenas.
¿Es nueva la técnica para hacer mella en MFA? Probablemente no, y un investigador lo señaló en uno de los tweets:
Lapsus$ no inventó el 'bombardeo rápido de MFA', por favor deje de darles crédito. th ellos como crearlo.
Este vector de ataque se ha utilizado en ataques del mundo real 2 años antes de que existiera lapsus
— Greg Linares (@Laughing_Mantis) 25 de marzo de 2022
Entonces, ¿significa esto que FIDO2 es totalmente a prueba de ataques?
¡Hasta cierto punto, sí! Esto se debe a que en el caso de FIDO2 la autenticación necesita el dispositivo del usuario. MFA que utiliza formularios FIDO2 está vinculado a una máquina física y no puede suceder con un dispositivo que intenta dar acceso a un dispositivo diferente.
Pero, ¿qué pasa si se te cae el teléfono y lo rompes, pierdes la llave o ¿Romper de alguna manera el lector de huellas digitales presente en su computadora portátil? ¿O qué pasa si un pirata informático engaña a un administrador de TI para que restablezca la autenticación multifactor y luego registre un dispositivo nuevo? Además, ¿qué pasa si MFA compatible con FIDO2 no es una opción en su caso?
Ahí es cuando entra en juego el bombardeo rápido de MFA en el caso de las formas de autenticación multifactor FIDO2 –
- Si Si se utilizan mecanismos de reinicio de copia de seguridad, los atacantes pueden aprovechar esta oportunidad.
- Supongamos que una empresa que utiliza formas FIDO2 de MFA depende de un tercero para realizar funciones o administrar la red. Esta empresa de terceros utiliza formularios MFA más débiles para acceder a las redes de la empresa. Todo el propósito de FIDO2 se frustra aquí.
Nobelium pudo eludir FIDO2 en todas partes, pero en este caso, los piratas informáticos pudieron explotar el Active Directory de la víctima, donde pudo explotar el herramientas de bases de datos que los administradores utilizan para crear, eliminar o modificar cuentas de usuario o asignarles privilegios de autorización.
ConclusiónNos gustaría restablecer el hecho de que, a medida que los actores maliciosos desarrollan formas más sólidas de frustrar las MFA, se crean formas más sólidas. debería ser usado. Dicho esto, utilizar una MFA sigue siendo un paso esencial hacia la protección de sus cuentas en línea. Si te gustó lo que leíste, dale me gusta a esta publicación y comparte tus puntos de vista en la sección de comentarios a continuación.
Leer: 0
