Crescono le preoccupazioni sugli attacchi di bypass MFA
Aumentano le preoccupazioni sugli attacchi MFA bypass
L’autenticazione a più fattori (MFA) utilizza fattori di autenticazione come password, impronte digitali e smartphone per proteggere sistemi e dati. Gli esperti di sicurezza spingono i consumatori e le organizzazioni ad adottare MFA perché è più difficile per i criminali informatici ottenere accesso non autorizzato ai sistemi quando devono rubare più fattori di autenticazione.
Gli esperti di organizzazioni di sicurezza e standard come l’Agenzia per la sicurezza informatica e l’infrastruttura (CISA) e l’Istituto nazionale di standard e tecnologia (NIST) invitano le persone e le organizzazioni ad utilizzare MFA quando possibile.
Tuttavia, i criminali informatici stanno sempre più bypassando MFA utilizzando attacchi appositamente progettati.
A febbraio, il forum di notizie e condivisione sui social media Reddit ha scoperto che gli attaccanti avevano sfruttato i propri dipendenti tramite email. L’attacco ha ingannato gli utenti facendoli cedere le proprie credenziali MFA ai criminali informatici.
- Analisi geospaziale per la resilienza alle inondazioni
- Preparati e gioca ‘Remnant II’ di Gearbox in streaming su GeForce NOW
- Ricercatori di Stanford introducono Gisting una nuova tecnica per la compressione efficiente delle prompt nei modelli di linguaggio.
“L’attaccante ha utilizzato prompt convincenti che indirizzavano i dipendenti a un sito web che imitava il gateway intranet di Reddit”, afferma James Quick, direttore delle soluzioni e consulenza per Simeio, un’azienda di gestione delle identità e degli accessi (IAM).
Secondo Quick, quando i dipendenti hanno inserito le proprie credenziali e i token di secondo fattore, i criminali hanno catturato e utilizzato questi ultimi per accedere all’organizzazione.
Gli attacchi di bypass MFA stanno aumentando. Secondo i dati di Sapphire Cybersecurity, un fornitore di servizi gestiti di sicurezza (MSSP) del Regno Unito con 25 anni di esperienza, ci sono stati 40.942 attacchi di MFA Fatigue nell’agosto 2022.
I criminali informatici hanno molte tecniche di bypass MFA, come gli attacchi man-in-the-middle (MitM), i kit di phishing per il bypass MFA, i cookie di sessione del browser rubati, la MFA fatigue e le applicazioni OAuth malevole.
Tuttavia, esistono metodi per mitigare questi attacchi.
I criminali informatici possono utilizzare gli attacchi man-in-the-middle su hotspot Wi-Fi per bypassare MFA. I criminali utilizzano un “evil twin” e un punto di accesso wireless falso e ingannano un utente affinché vi si connetta. Questa tattica dà al criminale accesso al traffico tra l’utente finale e Internet e la possibilità di rubare il token.
Secondo Brian Hornung, amministratore delegato di Xact IT Solutions, Inc., un’azienda di sicurezza informatica e servizi IT, quando un dipendente in viaggio si connette al Wi-Fi di un hotel e successivamente al proprio account Microsoft, potrebbe visualizzare un messaggio che chiede se desidera fidarsi del sito o ricordarlo sul dispositivo. “La maggior parte degli utenti non addestrati cliccherà ‘sì’ perché non vuole passare attraverso il processo di accesso manuale ogni volta che si connette da questa rete”, spiega Hornung. “Ma se l’attaccante può intercettare il token Microsoft mentre passa da Microsoft a loro e poi all’utente, può rubare quel token e usarlo per ottenere accesso”.
I kit di phishing per il bypass MFA sono una scelta popolare per i criminali informatici. Utilizzano i kit e siti web di phishing per catturare nomi utente, password e token MFA per accedere all’account dell’utente.
Secondo Hornung, quando un dipendente inserisce il proprio nome utente e password nel sito web falso, i criminali informatici raccolgono queste informazioni e le inseriscono rapidamente nel sito legittimo. Quando il sito invia un token MFA all’utente, quest’ultimo lo inserisce e il criminale lo raccoglie e lo inserisce rapidamente nel sito effettivo, afferma Hornung.
Il furto dei cookie di sessione del browser è un altro metodo per il bypass MFA. Le organizzazioni utilizzano i cookie di sessione del browser per registrare l’attività di un utente durante la navigazione sul sito web. La sessione dell’utente dovrebbe terminare e il cookie dovrebbe essere cancellato quando l’utente chiude il browser.
Sfortunatamente, secondo HelpNetSecurity, un criminale informatico può bypassare MFA rubando il cookie di sessione del browser dell’utente per ottenere accesso non autorizzato al sito dell’organizzazione e ai dati sensibili.
Un altro attacco, la MFA fatigue, ha ricevuto molta copertura mediatica. Secondo BleepingComputer, gli attacchi di MFA fatigue o MFA bombing utilizzano script per automatizzare tentativi di accesso ripetuti. Il sistema invia richieste di conferma dell’autenticazione a due fattori (2FA) agli utenti fino a quando si stancano e confermano di aver effettuato l’accesso, ma è l’hacker a ottenere l’accesso.
I criminali informatici possono anche abusare di Open Authorization (OAuth 2.0), lo standard de facto per l’autorizzazione e il consenso online, per bypassare MFA. Secondo HelpNetSecurity, negli attacchi maliziosi di OAuth che sono iniziati a comparire alla fine dello scorso anno, Microsoft ha involontariamente concesso “badge di identità verificata” ai criminali informatici. I criminali informatici hanno utilizzato i badge blu con applicazioni di Single Sign-On (SSO) e riunioni fraudolenti in attacchi di ingegneria sociale. Quando gli utenti hanno cliccato su “accetta”, i criminali hanno ottenuto accesso non autorizzato.
Nonostante gli attacchi in aumento, c’è speranza. Secondo Quick, le organizzazioni possono proteggere dipendenti e dati dagli attacchi di bombardamento/fatica MFA utilizzando MFA basati sul tempo, come Google Authenticator o Microsoft Authenticator. Questi codici monouso basati sul tempo (TOTP) scadono dopo 30 secondi. “Rende più difficile per gli attaccanti inviare molte richieste MFA velocemente”, spiega Quick.
“Un’altra opzione è l’MFA di tipo challenge-response. Richiede agli utenti di rispondere a una domanda di sicurezza o fornire un identificatore biometrico oltre alla loro password e al codice MFA”, dice Quick. Un attaccante dovrebbe conoscere la risposta o avere accesso all’identificatore biometrico per bypassare l’MFA.
Ci sono variazioni sul fattore di autenticazione “qualcosa che possiedi”, come le chiavi di autenticazione fisica.
Rahul Mahna, direttore generale del team di servizi IT esternalizzati dello studio di contabilità EisnerAmper, afferma: “Stiamo vedendo un aumento di popolarità dell’MFA hardware come le YubiKeys. Le chiavi consentono l’MFA fisico rispetto a quello elettronico”.
Le YubiKeys e prodotti simili, come Google Titan, mitigano gli attacchi di man-in-the-middle e phishing perché i criminali non hanno la chiave fisica.
La consapevolezza è uno strumento critico per i team di sicurezza. Secondo Quick, le organizzazioni dovrebbero essere al corrente degli ultimi attacchi di phishing e ingegneria sociale su MFA. “Gli attaccanti stanno costantemente sviluppando nuovi modi per ingannare gli utenti e ottenere l’approvazione delle richieste MFA”, afferma. Conoscendo il funzionamento dei nuovi attacchi di bypass MFA, i team di sicurezza possono imparare quali allarmi impostare e quali registri degli eventi controllare per identificare questi attacchi.
Le organizzazioni possono rivolgersi a organizzazioni di sicurezza consolidate per ottenere orientamenti. CISA ha un documento informativo datato ottobre 2022 per l’implementazione di MFA resistente al phishing che illustra le minacce di bypass MFA, le implementazioni di sicurezza informatica e le risorse disponibili.
Il bypass MFA mira alle vulnerabilità umane. I team di sicurezza dovrebbero concentrarsi sul monitoraggio e sulla protezione degli utenti e dell’accesso degli utenti.
“L’obiettivo di un team di sicurezza informatica è cambiato per proteggere l’individuo, specialmente coloro che ricoprono posizioni di alto livello e hanno accesso a sistemi finanziari che possono diventare un grande obiettivo per gli hacker”, conclude Mahna.
David Geer è un giornalista che si occupa di questioni legate alla sicurezza informatica. Scrive da Cleveland, OH, USA.
