Vërtetimi me shumë faktorë është një mbrojtje e fortë për të shmangur hakerët që të marrin nën kontroll llogarinë tuaj. Por, sipas një zbulimi të fundit, dy grupe – Lapsus$ dhe SolarWinds duket se kanë krijuar një pengesë në mënyrën se si funksionon MPJ. Në këtë postim, ne do të diskutojmë se për çfarë bëhet fjalë dhe më e rëndësishmja, jo të gjitha llojet e Autentifikimit me shumë faktorë janë krijuar të barabartë.
Pak rreth vërtetimit me shumë faktorë (MFA)
Nëse ju keni aktivizuar Authentication Multifactor në llogarinë tuaj, më pas, përveç emrit të përdoruesit dhe fjalëkalimit që jepni gjatë hyrjes në llogarinë tuaj, duhet të përdorni edhe një faktor shtesë. Ky mund të jetë një fjalëkalim një herë që dërgohet në telefonin inteligjent ose në emailin tuaj, një gjurmë gishti ose një çelës sigurie fizike.
Formularët e MPJ-së – Një përmbledhje
Jo të gjitha MPF-të janë të tilla. krijuar të barabartë për sa i përket sigurisë. Në të kaluarën e afërt, fëmijë me skenarë si banda e zhvatjes së të dhënave Lapsus$ dhe Cozy Bear – Aktorët e kërcënimit pas hakimit të SolarWinds kanë qenë të suksesshëm në thyerjen e disa mbrojtjeve të MPJ-së. Ata kanë përdorur një teknikë të njohur si MFA Prompt Bombing diçka që do ta diskutojmë pak më vonë në këtë blog.
Para se të diskutojmë se çfarë është bombardimi i shpejtë i MFA, le të zhytemi së pari në 2 korniza mbi të cilat bazohet Autentifikimi me shumë faktorë. –
Çfarë është MFA Prompt Bombing?
Koncepti i MFA Prompt Bombing, në fillim, tregon se sa i dobët është më i moshuari? format e MPJ-së janë.
Duke ditur faktin se shumë ofrues të MPJ-së ju lejojnë të merrni një telefonatë për të konfirmuar vërtetimin ose për të dërguar njoftime shtytëse si një faktor të dytë, aktorët e kërcënimit në të kaluarën kanë lëshuar vërtetim të shumëfishtë të shumëfaktorëve kërkimet në pajisjen legjitime të një përdoruesi. Më konkretisht, sipas studiuesve të Mandiant, aktori kërcënues Cozy Bear, i cili gjithashtu njihet me emrat APT29, Nobelium dhe Dukes, e përdori këtë teknikë.
Por si në tokë Aktorët e Kërcënimit Rope In Victims To Tap. Në autentifikimin?
Një anëtar i Lapsus$ shkroi në kanalin zyrtar Telegram të grupit – “Thirrni punonjësin 100 herë në orën 1 të mëngjesit ndërsa ai po përpiqet të flejë dhe ai ka më shumë gjasa ta pranojë atë. Pasi punonjësi pranon thirrjen fillestare, ju mund të hyni në portalin e regjistrimit të MPJ-së dhe të regjistroni një pajisje tjetër.”
Siç mund të shohim se aktori i kërcënimit ka shfrytëzuar faktin që nuk ishte vendosur asnjë kufi në numrin e thirrjeve që mund të bëhej. Për më tepër, kërkesat i dërgohen pajisjes, përveç nëse dhe derisa përdoruesi t'i pranojë ato, dhe më pas, pasi të ndodhë kjo, aktori i kërcënimit fiton akses në llogarinë e përdoruesit.
Mjaft e habitshme (dhe alarmante!), një LapSus. Anëtari i $ pretendoi se kishte mashtruar një punonjës të Microsoft. Ky anëtar tha: "Në gjendje të identifikohet në Microsoft VPN të një punonjësi nga Gjermania dhe SHBA në të njëjtën kohë dhe ata as që dukej se e vunë re. Gjithashtu ishte në gjendje të riregjistrohej dy herë në MFA."
Mike Grover, i cili është një shitës i mjeteve të hakerimit të ekipit të kuq për profesionistët e sigurisë, tha "në thelb një metodë e vetme që kërkon shumë formularët: mashtrimi i përdoruesit për të pranuar një kërkesë të MPJ-së. "Bombardimi i MPJ" është bërë shpejt një përshkrues, por kjo i mungojnë metodat më të fshehta." Metodat përfshijnë –
Dëshironi disa teknika që kanë përdorur shumë ekipe të kuqe për të anashkaluar mbrojtjen e MPJ-së në llogari? Po, edhe versione "të pahijshme".
Po e ndaj që të mund të mendoni se çfarë do të vijë, si do të bëni masat zbutëse, etj. Kjo po shihet më shumë në natyrë këto ditë.
>1/n
— _MG_ (@_MG_) 23 mars 2022
- Thirrja e viktimës së synuar si pjesë e kompania dhe duke u kërkuar atyre të dërgojnë një kërkesë MPJ si pjesë e procesit të kompanisë.
- Dërgimi i një sërë kërkesash MPJ me shpresën se viktima e synuar më në fund dorëzohet dhe pranon kërkesën për të ndaluar zhurmën.
- Dërgimi 1-2 në ditë. Këtu shanset për pranimin e kërkesës së MPJ-së janë ende të mira.
A është e re teknika për të dëmtuar MPJ-në? Ndoshta jo dhe një studiues e vuri në dukje këtë në një nga postimet në Twitter –
Lapsus$ nuk shpiku 'bombardimin e menjëhershëm të MPJ', ju lutemi mos i kreditoni ato me ata si e krijojnë atë.
Ky vektor sulmi ka qenë një gjë e përdorur në sulmet në botën reale 2 vjet përpara se lapsus të ishte një gjë
— Greg Linares (@Laughing_Mantis) 25 mars 2022
Pra, a do të thotë kjo se FIDO2 është provë e plotë kundër sulmeve?
Në një masë, po! Kjo për shkak se në rastin e FIDO2, vërtetimi ka nevojë për pajisjen e përdoruesit. MPJ që përdor formularët FIDO2 janë të lidhura me një makinë fizike dhe nuk mund t'i ndodhë një pajisjeje që përpiqet t'i japë akses në një pajisje tjetër.
Por, çfarë nëse ju bie telefoni dhe e thyeni atë, humbni çelësin ose thyejnë disi lexuesin e gjurmëve të gishtave të pranishëm në laptop? Ose çfarë nëse një haker mashtron një administrator të IT-së për të rivendosur Autentifikimin Multifaktor dhe më pas për të regjistruar një pajisje të re krejtësisht? Po ashtu, çfarë nëse MFA në përputhje me FIDO2 nuk është një opsion në rastin tuaj?
Kjo është kur MPJ-ja e menjëhershme bombardohet në rastin e FIDO2 Forms of Multifactor Authentication –
- Nëse Përdoren mekanizmat e rivendosjes së rezervës, sulmuesit mund ta përdorin këtë mundësi.
- Le të themi se një kompani që përdor format FIDO2 të MPJ-së mbështetet në një palë të tretë për kryerjen e funksioneve ose menaxhimin e rrjetit. Kjo kompani e palës së tretë përdor forma më të dobëta të MPJ-së për të hyrë në rrjetet e kompanisë. I gjithë qëllimi i FIDO2 është mposhtur këtu.
Nobelium ishte në gjendje të anashkalonte FIDO2 të bazuar kudo, por në këtë rast, hakerët ishin në gjendje të shfrytëzonin Active Directory të viktimës ku ishte në gjendje të shfrytëzonte mjetet e bazës së të dhënave që administratorët përdorin për të krijuar, fshirë ose modifikuar llogaritë e përdoruesve ose për t'u caktuar atyre privilegje autorizimi.
PërfundimDëshirojmë të rivendosim faktin se me aktorët keqdashës që zhvillojnë mënyra më të forta për të penguar MPJ-të, forma më të forta. duhet të përdoret. Thënë kjo, përdorimi i një MPJ është ende një hap thelbësor drejt mbrojtjes së llogarive tuaja në internet. Nëse ju pëlqeu ajo që lexoni, përshëndetni këtë postim dhe ndani pikëpamjet tuaja në seksionin e komenteve më poshtë.
Lexo: 0
