.
Análise O ataque cibernético de setembro ao serviço de carona Uber começou quando um criminoso comprou as credenciais roubadas de um contratado da empresa na dark web.
O malfeitor então tentou repetidamente fazer login na conta Uber do contratado, acionando a solicitação de aprovação de login de dois fatores que o contratado inicialmente negou, bloqueando o acesso. No entanto, o contratado acabou aceitando uma das muitas notificações push, permitindo que o invasor faça login na conta e tenha acesso à rede, sistemas e dados corporativos da Uber.
O criador de aplicativos tornou-se o mais recente vítima de alto perfil da fadiga da autenticação multifator (MFA), um problema de segurança cibernética cada vez maior em que os invasores são capazes de contornar uma pedra angular das defesas modernas em um momento em que os grupos de ameaças estão mudando seu foco de infectar endpoints e, em vez disso, visam a identidade.
Microsoft e Sistemas Cisco também foram vítimas de fadiga de MFA – também conhecido como spam de MFA ou bombardeio de MFA – este ano, e esses ataques estão aumentando rapidamente. De acordo com a Microsoft, entre dezembro de 2021 e agosto, o número de ataques de MFA multifator aumentou. Houve 22.859 sessões do Azure Active Directory Protection com várias tentativas de MFA com falha em dezembro passado. Em agosto, eram 40.942.
Um buraco no MFA
A MFA está entre várias ofertas de segurança projetadas para proteger as empresas contra ameaças cibernéticas e o problema de funcionários clicarem inadvertidamente em anexos de e-mail maliciosos ou URLs projetados para roubar credenciais, incluindo nomes de usuário e senhas necessários para logins de fator único. Outro fator de autenticação é necessário, desde impressão digital ou reconhecimento facial até um PIN ou uma resposta a uma pergunta de segurança.
Também há notificações push, que são solicitações no dispositivo móvel de um usuário se houver uma tentativa de usar suas credenciais para entrar em um sistema ou conta. Os prompts solicitam a verificação de que o usuário é quem está tentando fazer login.
Em uma situação de fadiga de MFA, o invasor usa as credenciais roubadas para tentar entrar em uma conta protegida repetidamente, sobrecarregando o usuário com notificações push. O usuário pode inicialmente tocar no prompt dizendo que não são eles tentando entrar, mas eventualmente eles se cansam do spam e o aceitam apenas para impedir que o telefone seja desligado. Eles podem assumir que é uma falha temporária ou um sistema automatizado que está causando o aumento nas solicitações.
Um departamento de TI poderia, se possível, introduzir uma política que bloqueie um usuário de fazer login e encerrar o spam de MFA, após um certo número de solicitações de autenticação de segundo fator com falha. Essa regra pode ser explorada para bloquear funcionários como uma forma de ataque de negação de serviço. O trabalhador também pode aceitar acidentalmente ou erroneamente a solicitação antes que o limite seja atingido. Por outro lado, os benefícios podem superar esses negativos, então esta opção está aí para você considerar.
Dito isso, às vezes o invasor se apresenta como parte da equipe de TI da organização, enviando mensagens ao funcionário para aceitar a tentativa de acesso.
Presa
A fadiga do MFA depende da engenharia social, bem como de quaisquer deficiências no design do sistema, para acessar a rede corporativa.
“É um método de ataque que faz com que o funcionário seja um humano”, disse John Spiegel, diretor de estratégia e CTO de campo da Axis Security. Strong The One.
“A intenção é fazer com que a vítima fique frustrada com inúmeras solicitações de MFA e, finalmente, clique em ‘aprovar’. Todos nós já experimentamos algo semelhante com a tecnologia. Seja tão simples quanto programar o relógio de uma geladeira ou clicar nas telas para aceitar todos os cookies para acessar o conteúdo que procuramos, nem sempre validamos a solicitação. É isso que o mau ator está contando.”
Grupos de ameaças executados com spam de MFA
O ataque é relativamente simples e está funcionando para equipes de crimes cibernéticos. Spamming MFA funciona contra um número decente de equipes. A gangue Yanluowang em maio o usou em um ataque contra a Cisco e depois publicou alguns dos dados roubados em um site de vazamento na dark web. Em março, o grupo Lapsus$ vazou 37 GB de código-fonte roubados da Microsoft após comprometer um funcionário por fadiga de MFA.
Depois veio o Uber, que coloque a culpa em Lapsus$.
Em um relatório atualizado em maio, o Mandiant, de propriedade do Google, apontou algumas equipes russas usando spam de MFA em seus ataques. A ameaça também chamou a atenção do governo. A Agência de Segurança Cibernética e Infraestrutura (CISA) do governo dos EUA publicou esta semana fichas técnicas destacando as ameaças à MFA e como as organizações podem se proteger.
“É uma grande ameaça porque ignora as medidas de segurança implementadas por uma organização, incluindo uma das mais eficazes, que é a MFA”, disse Sami Elhini, especialista em biometria da Cerberus Sentinel. Strong The One.
“As empresas precisam prestar atenção a isso, porque, como o phishing, a fadiga da MFA é uma forma de engenharia social”.
Empresas que confiam mais em MFA, confiança zero
Os ataques à MFA ocorrem no momento em que as empresas, com o fim da pandemia de COVID-19, estão adotando modelos cloud-first e zero trust, que devem contar com a MFA para ajudar a proteger dados e aplicativos, Stephanie Aceves, diretora sênior de gerenciamento de produtos da Tanium , contou Strong The One.
“A fadiga da MFA representa uma séria ameaça para as organizações porque é uma maneira bastante trivial de um invasor paciente obter acesso a recursos de empresas privadas”, disse Aceves, observando que visa o risco mais significativo para as empresas – pessoas que podem ser manipuladas.
Diante disso, o que as empresas podem fazer para se proteger dos ataques de spam de MFA? Educar os funcionários sobre a ameaça é importante – como ensiná-los a identificar e lidar com picos de solicitações de MFA – mas não é a solução completa e única.
Garantir que os aplicativos de autenticação não sejam manipulados e as solicitações sejam aceitas erroneamente antes que possam ser totalmente avaliadas, por exemplo, seria útil. A adição de tratamento inteligente de logins, para que haja um período de reflexão após um ataque de spam de MFA, também é útil.
Além disso, algumas formas de MFA, como tokens de autenticação únicos, podem ser phishing junto com nomes de usuário e senhas para permitir que um criminoso faça login como vítima. Encontrar e implementar uma abordagem de MFA resistente a phishing é algo que vale a pena pensar.
“As pessoas foram informadas de que precisam se livrar das senhas e migrar para a MFA, mas não estão sendo informadas de que a grande maioria da MFA é facilmente phishing, tão fácil de roubar ou ignorar quanto sua senha”, Roger Grimes, data- analista de defesa da KnowBe4, disse Strong The One.
Assim, além de reforçar sua implantação de MFA, ainda é importante fornecer aos usuários uma “educação sobre tipos comuns de ataques e como reconhecê-los, evitá-los e como denunciar adequadamente. Literalmente, cinco minutos de educação fariam um mundo de diferença.”
E tão importante quanto a educação e as defesas de autenticação, você precisa arquitetar seus sistemas e redes para que, se ou quando alguém cair em um phishing, a violação de segurança seja contida o máximo possível e detectada o mais cedo possível.
Soluções possíveis
Algumas empresas estão na bola. A Microsoft, por exemplo, está fazendo a correspondência numérica de um recurso padrão em seu aplicativo Autenticador. Isso exige que um usuário que responda a uma notificação por push de MFA usando a ferramenta digite um número que aparece na tela do dispositivo para aprovar um login. O número será enviado apenas para usuários que foram habilitados para correspondência de números, de acordo com a Microsoft.
Eles também estão adicionando outros recursos ao Authenticator, incluindo mostrar aos usuários em qual aplicativo eles estão entrando e a localização do dispositivo, com base em seu endereço IP, que está sendo usado para entrar. Se o usuário estiver na Califórnia, mas o dispositivo está na Europa, isso deve levantar uma grande bandeira vermelha. Isso também deve ser detectado automaticamente pelos sistemas de autenticação.
Duo em agosto também introdução de correspondência de números em seu aplicativo Duo Push. O recurso, que está em acesso antecipado e chamado Verified Duo Push, exige que os usuários insiram um código de verificação para “garantir que apenas usuários verificados possam fazer login e evitar que alguém aceite distraidamente um push que não solicitou”, Joshua Terry , gerente de produto da Duo, escreveu em uma postagem no blog.
Okta também oferece às organizações o que chama de “desafio dos números” para notificações push com sua ferramenta Okta Verify.
CISA é encorajando organizações para implementar defesas anti-MFA-phishing ou pelo menos várias ferramentas.
“Embora a correspondência de números não seja tão forte quanto a MFA resistente a phishing, é uma das melhores mitigações provisórias para organizações que podem não conseguir implementar imediatamente a MFA resistente a phishing”, escreveu a agência.
Quanto à limitação do número de solicitações de autenticação MFA malsucedidas: Okta limites esse número para cinco; Microsoft e Duo oferecem às organizações a capacidade de implementá-lo em suas configurações e ajustar o número de tentativas com falha antes que a conta do usuário seja bloqueada automaticamente. Com o Microsoft Authenticator, as empresas também podem definir o número de minutos antes que um contador de bloqueio de conta seja redefinido.
“No final das contas, nenhum modelo é perfeito”, disse Aceves, da Tanium. “Como especialistas em segurança, é nossa responsabilidade criar controles e camadas adicionais de defesa para impedir que invasores acessem os dados e recursos que temos a tarefa de proteger”.
Para alguns, sem senha é o objetivo final
Para empresas como Microsoft, Google e Apple, um passo fundamental será eliminar completamente as senhas. Todos os três em maio fizeram login no login sem senha comum padrão criado pela FIDO Alliance e World Wide Web Consortium para tudo, desde sites a aplicativos e entre dispositivos e plataformas.
No entanto, a adoção ampla levará tempo. Ainda existem sistemas e aplicativos legados que não suportam autenticação sem senha, mas o objetivo final será eliminar o que se tornou uma fraqueza fundamental na cadeia de segurança cibernética. Até lá, o fortalecimento de senhas continuará sendo importante.
“Nem todos os MFAs são iguais e a conscientização cibernética é fundamental, juntamente com controles de segurança adicionais, como gerenciamento de acesso privilegiado [that] pode ajudar a reduzir esses riscos, como mover senhas para segundo plano e garantir que cada conta tenha senhas complexas e fortes”, disse Joseph Carson, cientista-chefe de segurança e CISO consultivo da Delinea. Strong The One. ®
.
