Hakerzy znaleźli sposób na ominięcie uwierzytelniania wieloskładnikowego Microsoftu

Hakerzy znaleźli sposób na ominięcie uwierzytelniania wieloskładnikowego Microsoftu

Autor: Krzysztof Sulikowski

Opublikowano: 8/23/2022, 5:30 PM

Liczba odsłon: 1284

Według raportu autorstwa Mandiant hakerzy znaleźli sposób na ominięcie uwierzytelniania wieloskładnikowego (MFA) Microsoftu. Większość organizacji korzysta z niego ze względu na funkcje bezpieczeństwa, ponieważ użytkownicy muszą użyć co najmniej dwóch poświadczeń w celu zalogowania (np. hasła i klucza USB). Nie oznacza to jednak, że MFA jest całkowicie bezpieczne.

Nowe doniesienia mówią o cyberprzestępcach wykorzystujących MFA opartą na wypychaniu powiadomień do spamowania użytkowników, nakłaniając ich do uruchomienia exploitów. Microsoft zapowiedział już, że wprowadzi powiadomienia push MFA z dopasowaniem numerów, aby złagodzić ten problem. A na czym on dokładnie polega? Dzięki procesowi samodzielnej rejestracji usługi MFA w Azure Active Directory i na innych platformach hakerzy mogą uzyskać dostęp do kont Microsoft 365 i nie tylko. Dzieje się tak, ponieważ większość platform pozwala użytkownikom zarejestrować pierwsze urządzenie do MFA przy następnym logowaniu, co traktowane jest jako luka.

Gdy organizacja po raz pierwszy wymusza MFA, większość platform umożliwia użytkownikom zarejestrowanie pierwszego urządzenia do MFA przy następnym logowaniu. Często jest to przepływ pracy wybierany przez organizacje do wdrażania MFA. W domyślnej konfiguracji Azure AD i innych platform nie ma żadnych dodatkowych wymagań w procesie rejestracji usługi MFA. Innymi słowy, każdy, kto zna nazwę użytkownika i hasło, może uzyskać dostęp do konta z dowolnej lokalizacji i dowolnego urządzenia, aby zarejestrować MFA, o ile jest to pierwsza osoba, która to robi.
— Douglas Bienstock, Mandiant

Badacze zabezpieczeń ustalili również, że ​​APT29, znany również jako Cozy Bear, poprzez listę skrzynek pocztowych o nieznanym źródle przeprowadzili atak polegający na zgadywaniu hasła. Udało im się uzyskać dostęp do konta, które było już skonfigurowane, ale uśpione. Azure AD poprosiło go o zarejestrowanie się w MFA. Dało to atakującym pełny dostęp do konta. Aby uniknąć takich przypadków, Mandiant zaleca, aby firmy upewniły się, że na wszystkich aktywnych kontach jest zarejestrowane więcej niż jedno urządzenie do MFA, a także aby do procesu konfiguracji MFA włączyły dodatkowe warstwy zabezpieczeń.