Inicio Gadgets ¿Qué está mellando las defensas de la autenticación multifactor (MFA)?

¿Qué está mellando las defensas de la autenticación multifactor (MFA)?

La autenticación multifactor es una defensa sólida para evitar que los piratas informáticos se apoderen de su cuenta. Pero, según un descubrimiento reciente, dos grupos: Lapsus $ y SolarWinds parecen haber hecho mella en la forma en que funciona MFA. En esta publicación, discutiremos de qué se trata y, lo que es más importante, no todos los tipos de autenticación multifactor son iguales.

Un poco de autenticación multifactor (MFA)

Si ha habilitado la autenticación multifactor en su cuenta, además del nombre de usuario y la contraseña que proporciona al iniciar sesión en su cuenta, también debe usar un factor adicional. Esta podría ser una contraseña de un solo uso enviada a su teléfono inteligente o correo electrónico, una huella digital o una clave de seguridad física.

Formularios MFA: una descripción general

No todos los MFA son iguales cuando se trata de seguridad. En el pasado reciente, tipos de guiones como la pandilla de extorsión de datos Lapsus $ y Cozy Bear: los actores de amenazas detrás del hackeo de SolarWinds han logrado violar algunas protecciones de MFA. Usaron una técnica conocida como MFA Prompt Bombing, algo de lo que hablaremos un poco más adelante en este blog.

Antes de discutir qué es el bombardeo rápido de MFA, veamos 2 marcos en los que se basa MFA:

Formas más antiguas de MFA: Estas son contraseñas de un solo uso (OTP) enviadas por SMS o notificaciones automáticas enviadas a un teléfono o mediante aplicaciones móviles como Google Authenticator . En este caso, además de ingresar su nombre de usuario y contraseña, también debe ingresar la contraseña de un solo uso que se le envió para completar el procedimiento de inicio de sesión.
FIDO2: Estas formas de MFA son relativamente nuevas pero más fuertes que las formas anteriores. Estos fueron desarrollados por un consorcio de empresas para equilibrar la facilidad de uso y la seguridad del usuario. Entonces, ¿en qué se diferencia FIDO2 de las formas anteriores? Aquí tiene la opción de usar las cámaras integradas en su dispositivo o lectores de huellas dactilares o claves de seguridad dedicadas. Estos métodos validan que el usuario está autorizado para usar la cuenta deseada.

¿Qué es el bombardeo rápido MFA?

El concepto de MFA Prompt Bombing, al principio, muestra cuán débiles son las antiguas formas de MFA.

Sabiendo que muchos proveedores de MFA permiten recibir una llamada telefónica para confirmar la autenticación o enviar notificaciones automáticas como segundo factor, los actores de amenazas en el pasado han enviado múltiples solicitudes de MFA al dispositivo legítimo de un usuario. Más específicamente, según los investigadores de Mandiant, el actor de amenazas Cozy Bear, también llamado APT29, Nobelium y Dukes, utilizó esta técnica.

Pero, ¿cómo demonios hicieron los actores de amenazas a las víctimas para tocar la autenticación?

Un miembro de Lapsus $ escribió en el canal oficial de Telegram del grupo: “Llama al empleado 100 veces a la 1 am mientras intenta dormir y lo más probable es que lo acepte. Una vez que el empleado ha aceptado la llamada inicial, puede iniciar sesión en el portal de registro de MFA y registrar otro dispositivo».

Como podemos ver, el actor de amenazas aprovechó el hecho de que no se puso límite en la cantidad de llamadas que se podían hacer. Además, las solicitudes se envían al dispositivo a menos y hasta que el usuario las acepte, luego, una vez que eso sucede, el actor de amenazas obtiene acceso a la cuenta del usuario.

Sorprendentemente (¡y alarmantemente!), un miembro de LapSus $ afirmó haber engañado a un empleado de Microsoft. Este miembro dijo: «Pudo acceder a la VPN de Microsoft de un empleado desde Alemania y EE. UU. al mismo tiempo y ni siquiera parecieron darse cuenta. También pudo volver a inscribirse en el MFA dos veces».

Mike Grover, que es un proveedor de herramientas de pirateo de Red Team para profesionales de seguridad, dijo “Básicamente, un método único que toma muchas formas: lograr que el usuario reconozca una solicitud de MFA. El ‘bombardeo de MFA’ se ha convertido rápidamente en un descriptor, pero carece de los métodos más sigilosos. «Los métodos incluyen:

Llame a la víctima objetivo como parte del negocio y pídale que envíe una solicitud de MFA como parte del proceso comercial. Enviar un montón de solicitudes de MFA con la esperanza de que la víctima objetivo finalmente ceda y acepte la solicitud para detener el ruido. Envío 1-2 por día. Aquí las posibilidades de aceptar la solicitud de MFA siguen siendo buenas.

¿Es nueva la técnica para magullar el MFA? Probablemente no, y un investigador señaló esto en uno de los tuits:

Entonces, ¿significa esto que FIDO2 es una prueba completa contra los ataques?

En cierto modo, ¡sí! Esto se debe a que en el caso de FIDO2 la autenticación requiere el dispositivo del usuario. La autenticación de múltiples factores que utiliza módulos FIDO2 está vinculada a una máquina física y no puede suceder con un dispositivo que intente proporcionar acceso a un dispositivo diferente.

Pero, ¿qué sucede si deja caer su teléfono y lo rompe, pierde la llave o de alguna manera rompe el lector de huellas dactilares de su computadora portátil? ¿O qué sucede si un pirata informático engaña a un administrador de TI para que restablezca la autenticación multifactor y luego registre un nuevo dispositivo por completo? Además, ¿qué sucede si MFA compatible con FIDO2 no es una opción en su caso?

Ahí es cuando el ataque rápido de MFA entra en juego en el caso de FIDO2 Forms of Multifactor Authentication:

Si se utilizan mecanismos de restauración de copias de seguridad, los atacantes podrían aprovechar esta oportunidad. Supongamos que una empresa que utiliza los formularios FIDO2 de MFA depende de un tercero para realizar funciones o administrar la red. Esta empresa de terceros utiliza módulos MFA más débiles para acceder a las redes de la empresa. Todo el propósito de FIDO2 es derrotado aquí.

Nobelium pudo eludir FIDO2 en cualquier lugar, pero en este caso los piratas informáticos pudieron aprovechar el Active Directory de la víctima, donde pudo aprovechar las herramientas de la base de datos que los administradores usan para crear, eliminar o modificar cuentas de usuario o asignarlas. privilegios de autorización.

envoltura

Nos gustaría restablecer el hecho de que con actores maliciosos que desarrollan formas más efectivas de contrarrestar la MFA, se deben usar formas más fuertes. Dicho esto, el uso de la autenticación multifactor sigue siendo un paso esencial para proteger sus cuentas en línea. Si te gustó lo que leíste, dale me gusta a esta publicación y comparte tus opiniones en la sección de comentarios a continuación.

Selena Garcia
Nunca robaré una señal Wi-fi, es ella quién entra sin permiso en mi casa. Cuando no escribo, disfruto del paisaje en el pirineo aragonés.
RELATED ARTICLES