.
A Microsoft espera conter uma ameaça crescente à autenticação multifator (MFA), aplicando uma etapa de correspondência de número para aqueles que usam notificações por push do Microsoft Authenticator ao entrar em serviços.
A partir desta semana, Redmond está colocando algum músculo por trás de um recurso de correspondência de números sobre o qual começou a falar no ano passado. Ele disse que havia um número crescente de ataques cibernéticos usando fadiga MFAtambém conhecido como spam push MFA e bombardeio push.
Autenticação de dois fatores (2FA) e MFA são estratégias para verificar os usuários que tentam fazer logon em sites, contas ou serviços e fazem parte de uma unidade maior para arquiteturas de confiança zeroque assumem a posição de que qualquer coisa ou pessoa que tente entrar em uma rede não pode ser confiável ou ter acesso até que seja verificado.
O MFA pode vir na forma de um código único que você insere ou um aplicativo em um dispositivo vinculado que exibe uma notificação perguntando se uma tentativa de login é legítima. Se alguém estiver tentando fazer login como você, você pode recusar o acesso. Se for você que está tentando entrar, pode aprovar o login.
Os invasores estão encontrando maneiras de contornar as proteções de MFA, como por meio de phishing e, neste caso, fadiga de MFA, um esforço de engenharia social no qual os invasores usam credenciais roubadas para tentar entrar em uma conta protegida de forma rápida e repetida, sobrecarregando possíveis vítimas com notificações push pedindo aprovação de login.
Inicialmente, o indivíduo visado provavelmente acessará o prompt para indicar que não é ele que está tentando fazer login, mas pode se cansar do ataque de spam e, eventualmente, aceitar o login para interromper o assédio. Essencialmente, o MFA deve impedir aqueles que usam credenciais de login roubadas, mas, na realidade, a medida de proteção pode ser contornada explorando o elemento humano: enviar spam aos usuários com notificações em seus dispositivos até que eles assumam que é um bug e cliquem em aceitar. Nesse ponto, o malfeitor está em sua conta.
É uma ameaça que a Microsoft, entre outros fornecedores e profissionais de segurança, vem rastreando há alguns anos. redmond serra quase 41.000 sessões de proteção do Azure Active Directory com várias tentativas falhadas de MFA em agosto de 2022, em comparação com 32.442 um ano antes, e observou que esses ataques “se tornaram mais prevalentes”.
A fadiga do MFA também é uma das inúmeras razões pelas quais a Microsoft está se apoiando em um impulso da indústria – e de outros, incluindo Google e Apple – para eliminar totalmente as senhas como uma ferramenta de verificação.
Houve alguns ataques de alto perfil no ano passado que apresentavam esquemas de fadiga MFA. A gangue de ransomware Yanluowang o usou em um batida contra a Cisco, enquanto o grupo Lapsus$ vazou 37 GB de código-fonte roubado da Microsoft após comprometer um funcionário por fadiga de MFA. Uber também foi atingido por Lapsus$ através de tal ataque, é relatado.
Em outubro de 2022, a Microsoft introduzido correspondência de número como uma opção, bem como outros recursos de segurança, como localização e contexto do aplicativo, no Microsoft Authenticator. Agora, a correspondência de números está sendo habilitada automaticamente para todas as notificações por push no Authenticator.
“À medida que os serviços relevantes são implantados, os usuários em todo o mundo habilitados para notificações por push do Authenticator começarão a ver o número correspondente em suas solicitações de aprovação”, escreveu o fornecedor em uma nota de suporte do Azure esta semana. “Os usuários podem ser habilitados para notificações por push do Autenticador na política de métodos de autenticação ou na política de autenticação multifator herdada”, desde que as notificações por meio do aplicativo móvel estejam habilitadas.”
A nota também disse que a correspondência de números não suporta notificações push para Apple Watch ou dispositivos vestíveis Android. “Os usuários de dispositivos vestíveis precisam usar seus telefones para aprovar notificações quando a correspondência de números estiver ativada”, escreveu a Microsoft.
Quando for aplicado, os usuários do Authenticator que responderem a uma notificação por push de MFA receberão outro número que precisarão digitar em qualquer aplicativo que esteja conectado para concluir o processo. Os usuários do autenticador não poderão desativar o recurso. Ele efetivamente adiciona um elemento de código único à abordagem de notificação por push.
Alguns serviços começarão a implantar as alterações a partir desta semana e “os usuários começarão a ver correspondência de número em solicitações de aprovação. À medida que os serviços são implantados, alguns podem ver correspondência de número, enquanto outros não. Para garantir um comportamento consistente para todos os usuários, é altamente recomendável que você habilite a correspondência de número para notificações push do Autenticador com antecedência.”
A correspondência de número também funcionará em outros cenários com o Autenticador, incluindo redefinição de senha de autoatendimento (SSPR), adaptadores AD FS (em versões com suporte do Windows Server) e registro combinado de MFA e SSPR ao configurar o Autenticador.
Para usuários do Windows que não usam o Authenticator, o método de login padrão não será alterado, de acordo com Redmond. ®
.
