MFA

Multifaktorautentificering under pres fra hackere

LAPSUS $ er kun en af flere cyberkriminelle grupper, der har brudt netværk af store virksomheder som Uber og Microsoft ved at spamme medarbejdere med multifaktorautentificering (MFA)-godkendelsesanmodninger.

Manglende MFA har været en af de vigtigste årsager til netværkssikkerhedsbrud i lang tid, hvilket har fået flere organisationer til at vedtage MFA som et forsvar. Mens det er meget opmuntret at aktivere MFA for alle konti og en bedste praksis, betyder implementeringsdetaljerne noget, fordi angribere finder måder omkring det.

En af de mest populære måder er at spamme en medarbejder, hvis legitimationsoplysninger er blevet kompromitteret med MFA-godkendelsesanmodninger, indtil de bliver irriterede og godkender anmodningen gennem deres autentificeringsapp. Det er en simpel, men effektiv teknik, der er blevet kendt som MFA-træthed og også blev brugt i det nylige Uber-brud.

Uber, LAPSUS $ og tidligere overtrædelser

Uber led et sikkerhedsbrud i sidste uge, hvor en hacker formåede at få adgang til nogle af sine interne systemer, herunder G-Suite, Slack, OpenDNS og HackerOne bug bounty platform. Da detaljer om hacket kom frem, formåede nogle sikkerhedsforskere at tale med hackeren, der syntes ivrig efter at tage ansvar og dele nogle af detaljerne om, hvordan angrebet blev udført.

I en samtale delt på Twitter af sikkerhedsforsker Kevin Beaumont sagde hackeren: “Jeg spammede [en] medarbejder med push-godkendelse i over en time. Jeg kontaktede ham derefter på WhatsApp og hævdede at være fra Uber IT. Fortalte ham, at hvis han vil have det til at stoppe, skal han acceptere det. Og nå, han accepterede, og jeg tilføjede min enhed.

Uber har siden delvist bekræftet disse oplysninger og sagde i en sikkerhedshændelsesopdatering, at offeret var en ekstern Uber-entreprenør, der fik stjålet sine Uber-legitimationsoplysninger, efter at deres enhed var inficeret med malware. Virksomheden mener, at hackeren sandsynligvis købte legitimationsoplysningerne fra det mørke web og indledte MFA-træthedsangrebet.

“Angriberen forsøgte derefter gentagne gange at logge ind på entreprenørens Uber-konto,” sagde virksomheden. “Hver gang modtog entreprenøren en anmodning om godkendelse af to faktorer, som i første omgang blokerede adgangen. Til sidst accepterede entreprenøren imidlertid en, og angriberen loggede med succes ind.

Uber mener også, at angriberen er forbundet med afpresningsgruppen LAPSUS$, som har været ansvarlig for brud på forskellige teknologivirksomheder i år, herunder Microsoft, Cisco, Samsung, Nvidia og Okta. I marts 2022 arresterede Londons politi syv personer i alderen 16 til 21 år for deres påståede engagement i gruppen, og mens LAPSUS $ -aktiviteten siden er bremset, troede mange forskere, at gruppen kunne have flere filialer og medlemmer.

Uber sagde, at LAPSUS $ har brugt lignende teknikker mod sine tidligere ofre. Faktisk blev Okta-overtrædelsen, som LAPSUS $ er blevet hævdet, opnået ved at målrette mod en supportingeniør, der arbejder for en ekstern teknisk supportudbyder kaldet Sykes Enterprises, et datterselskab af Sitel. Hændelsen blev registreret, da angribere forsøgte at tilføje en ny godkendelsesfaktor til ingeniørens konto fra en ny placering, og anmodningen blev afvist. Selvom det ikke er klart, om MFA-træthed blev forsøgt i dette tilfælde, viser Telegram-skærmbilleder LAPSUS $ -medlemmer, der diskuterer teknikken.

“Signin med smartcard har ingen MFA,” siger et af medlemmerne til en anden. “Login med adgangskode udsteder MFA via et telefonopkald eller en godkendelsesapp. Der er dog ingen grænse for mængden af opkald, der kan foretages. Ring til medarbejderen 100 gange kl. 1, mens han forsøger at sove, og han vil mere end sandsynligt acceptere det. Når medarbejderen har accepteret det første opkald, kan du få adgang til MFA-tilmeldingsportalen og tilmelde en anden enhed.”

“Selv Microsoft!,” siger en anden bruger. “Kunne logge ind på en medarbejders Microsoft VPN fra Tyskland og USA på samme tid, og de syntes ikke engang at lægge mærke til det. Var også i stand til at tilmelde MFA igen to gange.”

Hvordan MFA-træthed udnytter den menneskelige faktor

Ligesom social engineering banker disse MFA-spamangreb på brugernes manglende træning og forståelse af angrebsvektorer. At få MFA rigtigt er en balancegang. At være strenge og ugyldiggørende sessioner vil ofte generere hyppige MFA-prompter, og medarbejderne kan blive trætte af dem eller se dem som overdrevne – bare noget nyt at klikke igennem for at genoptage deres arbejde. Så når MFA-træthedsangreb sker, og de spammes med et stort antal push-meddelelser, kan de bare antage, at det allerede irriterende system ikke fungerer korrekt, og de accepterer meddelelsen, som de gjorde mange gange før.

“Mange MFA-brugere er ikke bekendt med denne type angreb og ville ikke forstå, at de godkender en svigagtig anmeldelse,” sagde forskere fra sikkerhedsfirmaet GoSecure i et blogindlæg tidligere i år. “Andre vil bare få det til at forsvinde og er simpelthen ikke klar over, hvad de laver, da de godkender lignende underretninger hele tiden. De kan ikke gennemskue ‘notifikation overload’ for at spotte truslen.”

På den anden side, hvis MFA-politikkerne er for slappe, er godkendte sessioner langvarige, IP-ændringer udløser ikke nye prompter, nye MFA-enhedstilmeldinger udløser ikke advarsler, og organisationer risikerer ikke at blive advaret, når noget som et godkendelsestoken, der allerede har bestået MFA-kontrollen, er blevet stjålet. Mens Okta midlertidigt blev brudt, er der noget positivt at lære af hændelsen. Nogle af virksomhedens MFA-politikker fungerede, og en advarsel blev udløst, da hackere forsøgte at tilmelde en ny MFA-enhed til kontoen.

Sådan afbødes MFA-træthedsangreb

Organisationer skal både træne deres medarbejdere til at få øje på disse nye angreb og indføre tekniske kontroller for at mindske potentialet for MFA-misbrug. Begrænsning af tilgængelige MFA-metoder, håndhævelse af hastighedsgrænser for MFA-anmodninger, registrering af placeringsændringer for godkendte brugere kan afbøde nogle af disse risici. Hvis nogle godkendelsesudbydere ikke tilbyder disse kontrolelementer, bør kunderne bede om dem.

“At se en stigende mængde misbrug af MFA giver anledning til push-meddelelser,” siger Steve Elovitz, fra Mandiant, på Twitter i februar. “Hackere spammer det simpelthen, indtil brugerne godkender det. Foreslå deaktivering af push til fordel for pin eller noget som @Yubico for enkelhedens skyld. I mellemtiden skal du være opmærksom på mængden af push-forsøg pr. konto.”

“Yubico” henviser til fysiske enheder såsom USB-drev, der bruger FIDO2-godkendelsesprotokollen til at validere godkendelsesanmodninger og overføre dem til applikationen på en sikker måde. Efter det nye Uber-brud præciserede Elovitz, at engangsadgangskoder / pins (OTP’er) langt fra er en ideel anden faktor, men de er bedre end push, og at FIDO2-kompatible implementeringer naturligvis er den bedste løsning.

Beaumont har også gentaget rådet om at deaktivere MFA-push-meddelelser og råder Azure- og Office 365-kunder til at aktivere Microsofts nye “nummermatchende” MFA-politik. Indstillingen nummermatchning, som blev tilføjet i år, kræver, at brugeren indtaster et nummer, de har modtaget på godkendelsessiden, i deres godkendelsesapp. Dette er det modsatte af OTP-metoden, hvor brugeren skriver en kode, der er genereret af deres mobile autentificeringsapp, til godkendelsessiden. Det er også meget sikrere end godkendelsesprocessen, der udløser en push-meddelelse på brugerens telefon om, at de bare skal klikke på “Ja”, eller værre, ringe til dem midt om natten, som LAPSUS $ -angriberne foreslog.

“Når man beskytter mod MFA-angreb af alle slags, er det vigtigt at give MFA mandat, når som helst en personlig profil ændres for at forhindre ondsindede handlinger i at gå ubemærket hen og oprette proaktive anmeldelser af risikable begivenheder,” sagde Shay Nahari, VP red team services hos CyberArk, i et blogindlæg om de seneste teknikker, der blev brugt i større social engineering-angreb,  herunder MFA træthed. “Derudover kan din SOC udnytte brugeradfærdsanalyser til at indstille kontekstuelle udløsere, der giver besked, hvis der registreres unormal adfærd, eller blokere brugergodkendelse fra mistænkelige IP-adresser.”

Kilde: CSO

Foto: Pexels

Scroll til toppen