Na swoim blogu dotyczącym bezpieczeństwa Microsoft przedstawił najnowsze trendy w atakach na poświadczenia użytkowników, a także kilka środków zaradczych w celu ochrony przed atakami na uwierzytelnianie wieloskładnikowe.
Kilka lat temu ataki na uwierzytelnianie wieloskładnikowe (MFA) były tak rzadkie, iż Microsoft nie miał choćby statystyk na ich temat – głównie dlatego, iż kilka organizacji korzystało z tej opcji czy wymuszało jej użycie u swoich pracowników. Jednak wraz ze wzrostem wykorzystania MFA i w miarę jak ataki na hasła stały się coraz bardziej powszechne, zespół Microsoft odnotował wzrost liczby hakerów wykorzystujących kradzież tokenów w celu ominięcia MFA i oszukania mechanizmów uwierzytelniania.
Microsoft ostrzega, iż kradzież tokenów może być niebezpieczna, ponieważ nie wymaga wysokich umiejętności technicznych, wykrycie ataku jest trudne, a jako iż technika ta dopiero niedawno odnotowała wzrost popularności, kilka organizacji jest świadomych problemu i stosuje przeciwko niemu środki zaradcze. Na blogu możemy wyczytać, iż „dzięki skompromitowaniu i odtworzeniu tokena dedykowanego dla danej tożsamości, która już przeszła uwierzytelnianie wieloskładnikowe, cyberprzestępca przechodzi weryfikację MFA i uzyskuje dostęp do zasobów organizacji”. Podczas uzyskiwania dostępu do aplikacji webowych chronionych przez usługę Azure AD użytkownik musi przedstawić prawidłowy token, który może uzyskać po zalogowaniu się do tej usługi przy użyciu swoich poświadczeń. Administratorzy mogą ustawić politykę, która wymusi podanie kodu MFA w przeglądarce. Token wydany użytkownikowi jest prezentowany aplikacji internetowej, która sprawdza jego poprawność i otwiera dostęp.
Schemat uwierzytelniania tokenem OAuth; źródło: MicrosoftW przypadku tradycyjnego phishingu osoba atakująca może użyć naruszonych poświadczeń, aby spróbować zalogować się do Azure AD. jeżeli polityka bezpieczeństwa wymaga usługi MFA, atakujący nie może się pomyślnie zalogować. Mimo iż podczas takiego ataku naruszone zostają poświadczenia konta, haker nie ma dostępu do zasobów organizacji. Widzimy ten scenariusz na poniższym obrazku.
Typowy atak na poświadczenia załagodzony przez MFA; źródło: MicrosoftMetody cyberprzestępców stale ewoluują i dlatego zespół Microsoft odnotowuje wzrost liczby atakujących wykorzystujących techniki o nazwie „Adversary-in-the-middle” (AitM) do kradzieży tokenów zamiast haseł. Frameworki, takie jak Evilginx2, wykraczają daleko poza phishing danych uwierzytelniających, wprowadzając złośliwą infrastrukturę między użytkownika a legalną aplikację, do której próbuje on uzyskać dostęp. Gdy sam jest celem phishingu, złośliwa infrastruktura przechwytuje zarówno dane uwierzytelniające użytkownika, jak i token.
Schemat ataku Adversary-in-the-middle (AitM); źródło: MicrosoftJeśli zwykły użytkownik stanie się ofiarą, a jego token zostanie skradziony, osoba atakująca może podjąć próbę przejęcia biznesowej poczty e-mail w celu uzyskania korzyści finansowych. o ile przedmiotem kradzieży będzie token z uprawnieniami administratora globalnego, hakerzy mogą próbować pełnego przejęcia dzierżawy usługi Azure AD, co spowoduje utratę kontroli administracyjnej i całkowitą kompromitację organizacji.
Microsoft ostrzega również przed atakami typu „Pass-the-cookie”, o których pisaliśmy na Kapitanie Hacku już dwa lata temu – przez cały czas są one zabójcze dla MFA. Przy tej technice osoba atakująca infekuje lub kompromituje urządzenie użytkownika i wyodrębnia z przeglądarki pliki cookie, tworzone każdorazowo po uwierzytelnieniu w usłudze Azure AD. Następnie haker przekazuje plik cookie do innej przeglądarki w innym systemie, aby ominąć kontrolę bezpieczeństwa.
Schemat ataku Pass-the-Cookie; źródło: Microsoft„Szczególnie narażeni są użytkownicy, którzy uzyskują dostęp do zasobów firmowych na urządzeniach osobistych. Urządzenia osobiste często mają słabsze zabezpieczenia niż urządzenia zarządzane przez firmę, a personel IT nie ma do nich wglądu” – zauważa Microsoft. Właśnie dlatego największe ryzyko dotyczy pracowników zdalnych, korzystających z urządzeń osobistych.
Przeciwdziałanie atakom kradzieży tokenów i omijania usługi MFA
Aby przeciwdziałać atakom kradzieży tokenów i omijania usługi MFA, Microsoft zaleca skrócenie czasu życia sesji oraz tokenów, choć wiąże się to z kosztami dla użytkownika. Środki łagodzące obejmują:
- skrócenie czasu życia sesji, co zwiększa liczbę przypadków, w których użytkownik jest zobligowany do ponownego uwierzytelnienia,
- skrócenie czasu życia tokena, co zmusza cyberprzestępców do zwiększenia częstotliwości prób kradzieży,
- wdrożenie kontroli dostępu warunkowego do aplikacji w usłudze Microsoft Defender w wersji chmurowej dla użytkowników łączących się z urządzeń niezarządzanych,
- wdrożenie kluczy bezpieczeństwa FIDO2, Windows Hello for Business (biometria) lub uwierzytelnianie użytkowników na podstawie certyfikatów.
Użytkownicy z wysokimi uprawnieniami, na przykład administrator globalny, powinni mieć wydzielone konto (albo choćby tożsamość) w usługach chmurowych. Pomoże to ograniczyć obszar ataku z lokalnego do chmury, jeżeli atakujący złamie systemy lokalne. Tożsamości administracyjne nie powinny mieć też podpiętej skrzynki pocztowej.
