⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A autenticação multifator (MFA) deveria preencher uma lacuna crítica na segurança da identidade. Isso significava que, mesmo que um invasor possuísse as credenciais da conta, ele não conseguiria fazer login sem o segundo fator. Embora essa lógica fosse correta, os invasores agora descobriram que não precisam roubar o segundo fator: eles só precisam que o usuário o entregue.
Se sua força de trabalho for autenticada com MFA baseado em push, esse ataque será uma ameaça real para sua organização hoje. Ferramentas como o Specops Secure Access são criadas especificamente para preencher essa lacuna, mas antes de começar a consertar, vale a pena entender como essa técnica funciona.
Como funciona o bombardeio imediato do MFA
O ataque requer três elementos principais para funcionar:
Credenciais de conta válidas, geralmente provenientes de despejos de senhas violadas na dark web
Um portal de login que usa MFA baseado em push (como VPN, Microsoft 365, Okta ou Duo)
Uma vítima que é alertada sempre que o invasor tenta fazer login
Os invasores acionam repetidamente o prompt, tentando enganar o alvo ou desgastá-lo para aprovar a solicitação. Às vezes, os invasores combinam o bombardeio imediato com uma chamada vishing fingindo ser da TI, onde tentarão projetar socialmente o alvo. O perigo é que esses métodos só precisem funcionar uma vez.
Se o prompt for aprovado, o invasor estará conectado como esse usuário. Os sistemas de segurança normalmente não serão alertados, pois o login parece totalmente legítimo.
A violação da Cisco
A violação da Cisco em 2022 é um exemplo importante de quão eficaz essa técnica é até mesmo contra programas de segurança maduros. Um invasor ligado ao grupo de ransomware Yanluowang comprometeu a conta pessoal do Google de um funcionário da Cisco, que estava sincronizando credenciais armazenadas no navegador, incluindo a senha da Cisco VPN do funcionário.
A partir daí, o invasor enviou avisos de MFA para o telefone do funcionário. Isso inicialmente não funcionou, então eles começaram a usar ligações vishing se passando por organizações de suporte confiáveis, falando em vários sotaques e, eventualmente, convencendo o funcionário a aceitar uma notificação push.
Uma vez aceito, o invasor tinha acesso VPN como funcionário. Eles então inscreveram seus próprios dispositivos para MFA para manter a persistência, escalaram para privilégios administrativos, acessaram servidores Citrix e controladores de domínio e exfiltraram cerca de 2,8 GB de dados antes de serem despejados. O facto de o bombardeamento imediato ter funcionado contra uma empresa como a Cisco, que está longe de ter uma postura de segurança fraca, realça o quão perigoso e eficaz o ataque se tornou.
Por que empurrar o MFA não elimina o risco
O problema com a MFA baseada em push é que os usuários são solicitados a aprovar ou negar um login com muito pouco para fazer. Não há uma indicação clara de onde a solicitação foi originada, qual dispositivo está sendo usado ou se a tentativa de login foi iniciada pelo usuário. Isoladamente, isso pode ser administrável. Mas quando os avisos começam a chegar repetidamente, é fácil presumir que algo está errado, em vez de reconhecê-lo como um ataque em potencial.
Se isso for combinado com um telefonema oportuno de alguém se passando por suporte de TI, a situação se torna ainda mais difícil de avaliar. Nesse ponto, o usuário não está agindo de forma descuidada, mas respondendo a um cenário projetado para parecer rotineiro e legítimo, usando credenciais que o invasor já possui.
Três maneiras pelas quais as organizações podem evitar bombardeios imediatos
1. Use fatores MFA resistentes à fadiga e ao phishing
Notificações push são a forma comum mais fraca de MFA. Fatores resistentes ao phishing, como chaves de segurança FIDO2, tokens de hardware como YubiKey ou códigos de correspondência de números de aplicativos autenticadores, são mais difíceis de abusar.
O Specops Secure Access oferece suporte a mais de 15 provedores de identidade e inclui essas opções resistentes à fadiga para logon do Windows, RDP e conexões VPN, para que as organizações possam aposentar o MFA somente push para pontos de acesso de alto risco.
Specops Acesso Seguro
2. Bloqueie senhas comprometidas na origem
O bombardeio imediato só é possível quando o invasor já possui uma senha válida. A varredura contínua do Active Directory (AD) em um banco de dados ativo de senhas violadas e a força de uma redefinição quando uma correspondência aparece remove o combustível para o ataque. Depender de políticas de senha padrão do AD não detectará senhas reutilizadas, incrementais ou violadas. Se você não sabe onde está hoje, o Specops Password Auditor é uma verificação gratuita e somente leitura do seu AD que sinaliza vulnerabilidades como senhas comprometidas ou contas de administrador inativas.
Auditor de senha Specops
3. Adicione sinais de risco ao login
As políticas de acesso condicional que levam em consideração a geografia, a postura do dispositivo e os tempos de login podem bloquear ou intensificar a autenticação antes que um prompt seja enviado ao telefone do usuário. Isso reduz a dependência apenas do comportamento do usuário e introduz contexto em tempo real para impedir logins suspeitos antes que eles se transformem em comprometimento bem-sucedido da conta.
MFA ainda é importante
O bombardeio imediato do MFA é
Se sua força de trabalho for autenticada com MFA baseado em push, esse ataque será uma ameaça real para sua organização hoje. Ferramentas como o Specops Secure Access são criadas especificamente para preencher essa lacuna, mas antes de começar a consertar, vale a pena entender como essa técnica funciona.
Como funciona o bombardeio imediato do MFA
O ataque requer três elementos principais para funcionar:
Credenciais de conta válidas, geralmente provenientes de despejos de senhas violadas na dark web
Um portal de login que usa MFA baseado em push (como VPN, Microsoft 365, Okta ou Duo)
Uma vítima que é alertada sempre que o invasor tenta fazer login
Os invasores acionam repetidamente o prompt, tentando enganar o alvo ou desgastá-lo para aprovar a solicitação. Às vezes, os invasores combinam o bombardeio imediato com uma chamada vishing fingindo ser da TI, onde tentarão projetar socialmente o alvo. O perigo é que esses métodos só precisem funcionar uma vez.
Se o prompt for aprovado, o invasor estará conectado como esse usuário. Os sistemas de segurança normalmente não serão alertados, pois o login parece totalmente legítimo.
A violação da Cisco
A violação da Cisco em 2022 é um exemplo importante de quão eficaz essa técnica é até mesmo contra programas de segurança maduros. Um invasor ligado ao grupo de ransomware Yanluowang comprometeu a conta pessoal do Google de um funcionário da Cisco, que estava sincronizando credenciais armazenadas no navegador, incluindo a senha da Cisco VPN do funcionário.
A partir daí, o invasor enviou avisos de MFA para o telefone do funcionário. Isso inicialmente não funcionou, então eles começaram a usar ligações vishing se passando por organizações de suporte confiáveis, falando em vários sotaques e, eventualmente, convencendo o funcionário a aceitar uma notificação push.
Uma vez aceito, o invasor tinha acesso VPN como funcionário. Eles então inscreveram seus próprios dispositivos para MFA para manter a persistência, escalaram para privilégios administrativos, acessaram servidores Citrix e controladores de domínio e exfiltraram cerca de 2,8 GB de dados antes de serem despejados. O facto de o bombardeamento imediato ter funcionado contra uma empresa como a Cisco, que está longe de ter uma postura de segurança fraca, realça o quão perigoso e eficaz o ataque se tornou.
Por que empurrar o MFA não elimina o risco
O problema com a MFA baseada em push é que os usuários são solicitados a aprovar ou negar um login com muito pouco para fazer. Não há uma indicação clara de onde a solicitação foi originada, qual dispositivo está sendo usado ou se a tentativa de login foi iniciada pelo usuário. Isoladamente, isso pode ser administrável. Mas quando os avisos começam a chegar repetidamente, é fácil presumir que algo está errado, em vez de reconhecê-lo como um ataque em potencial.
Se isso for combinado com um telefonema oportuno de alguém se passando por suporte de TI, a situação se torna ainda mais difícil de avaliar. Nesse ponto, o usuário não está agindo de forma descuidada, mas respondendo a um cenário projetado para parecer rotineiro e legítimo, usando credenciais que o invasor já possui.
Três maneiras pelas quais as organizações podem evitar bombardeios imediatos
1. Use fatores MFA resistentes à fadiga e ao phishing
Notificações push são a forma comum mais fraca de MFA. Fatores resistentes ao phishing, como chaves de segurança FIDO2, tokens de hardware como YubiKey ou códigos de correspondência de números de aplicativos autenticadores, são mais difíceis de abusar.
O Specops Secure Access oferece suporte a mais de 15 provedores de identidade e inclui essas opções resistentes à fadiga para logon do Windows, RDP e conexões VPN, para que as organizações possam aposentar o MFA somente push para pontos de acesso de alto risco.
Specops Acesso Seguro
2. Bloqueie senhas comprometidas na origem
O bombardeio imediato só é possível quando o invasor já possui uma senha válida. A varredura contínua do Active Directory (AD) em um banco de dados ativo de senhas violadas e a força de uma redefinição quando uma correspondência aparece remove o combustível para o ataque. Depender de políticas de senha padrão do AD não detectará senhas reutilizadas, incrementais ou violadas. Se você não sabe onde está hoje, o Specops Password Auditor é uma verificação gratuita e somente leitura do seu AD que sinaliza vulnerabilidades como senhas comprometidas ou contas de administrador inativas.
Auditor de senha Specops
3. Adicione sinais de risco ao login
As políticas de acesso condicional que levam em consideração a geografia, a postura do dispositivo e os tempos de login podem bloquear ou intensificar a autenticação antes que um prompt seja enviado ao telefone do usuário. Isso reduz a dependência apenas do comportamento do usuário e introduz contexto em tempo real para impedir logins suspeitos antes que eles se transformem em comprometimento bem-sucedido da conta.
MFA ainda é importante
O bombardeio imediato do MFA é
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #bombardeio #imediato #do #mfa: #por #que #seu #segundo #fator #não #está #salvando #você
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário