„Microsoft“: įsilaužėliai naudoja šią „susijusią“ taktiką, kad išvengtų kelių veiksnių autentifikavimo

„Microsoft“ apibūdino keletą švelninimo būdų, kaip apsisaugoti nuo kelių veiksnių autentifikavimo atakų, kurios, deja, apsunkins jūsų nuotolinių darbuotojų gyvenimą.

Prieš trejus metus atakos prieš kelių veiksnių autentifikavimą (MFA) buvo tokios retos, kad Microsoft neturėjo tinkamos statistikos apie juos, daugiausia todėl, kad nedaugelis organizacijų suteikė MFP.

Tačiau didėjant MFA naudojimui, nes atakos prieš slaptažodžius tampa vis dažnesnės, „Microsoft“ pastebėjo, kad padaugėjo užpuolikų, naudojančių žetonų vagystes, bandydami apeiti MFA.

Šių atakų metu užpuolikas pažeidžia žetoną, išduotą asmeniui, kuris jau baigė MFA, ir atkuria tą prieigos raktą, kad gautų prieigą iš kito įrenginio. Ženklai yra pagrindiniai OAuth 2.0 tapatybės platformų, įskaitant Azure Active Directory (AD), kurių tikslas padaryti autentifikavimą paprastesnį ir greitesnį naudotojams, tačiau taip, kad jis būtų atsparus slaptažodžiui išpuolių.

Taip pat: Kibernetinio saugumo darbai: penki būdai, padėsiantys kurti karjerą

Be to, Microsoft perspėja, kad žetonų vagystė yra pavojinga, nes tam nereikia aukštų techninių įgūdžių, aptikimo yra sudėtinga ir, kadangi ši technika tik neseniai išaugo, nedaugelis organizacijų taiko švelninimo priemones vieta.

„Pastaruoju metu „Microsoft“ aptikimo ir reagavimo komanda (DART) pastebėjo, kad padaugėjo užpuolikų, kurie šiuo tikslu naudoja žetonų vagystę. „Microsoft“ teigia dienoraščio įraše.

„Sukompromituojant ir atkuriant žetoną, išduotą tapatybei, kuri jau baigė daugiafaktorę autentifikavimas, grėsmės veikėjas tenkina MFA patvirtinimą ir suteikiama prieiga prie organizacijos atitinkamai išteklius. Gynėjams tai kelia susirūpinimą, nes norint sukompromituoti žetoną reikia patirties. labai žemas, jį sunku aptikti, o reaguodami į incidentus tik kelios organizacijos ėmėsi priemonių vagysčių mažinimui planą“.

Pasiekdamas žiniatinklio programas, apsaugotas „Azure AD“, vartotojas turi pateikti galiojantį prieigos raktą, kurį gali gauti prisijungęs prie „Azure AD“ naudodamas savo kredencialus. Administratoriai gali nustatyti politiką, kad MFA būtų reikalaujama prisijungti prie paskyros iš naršyklės. Vartotojui išduotas prieigos raktas pateikiamas žiniatinklio programai, kuri patvirtina prieigos raktą ir atveria prieigą.

„Kai vartotojas yra sukčiavęs, kenkėjiška infrastruktūra užfiksuoja ir vartotojo kredencialus, ir prieigos raktą“, – aiškina „Microsoft“.

Jei pavagiami ir kredencialai, ir prieigos raktas, užpuolikas gali juos panaudoti daugeliui atakų. „Microsoft“ pabrėžia verslo el. pašto kompromisą, kuris šiandien yra didžiausia kibernetinių nusikaltimų finansinių nuostolių priežastis.

Taip pat: Technologijų išlaidos kitais metais didės. Ir šis senas mėgstamiausias vis dar yra pagrindinis prioritetas

„Microsoft“ taip pat įspėja apie „Pass-the-cookie“ atakas, kai užpuolikas pažeidžia įrenginį ir iš naršyklės ištraukia naršyklės slapukus, kurie sukuriami po autentifikavimo „Azure AD“. Užpuolikas perduoda slapuką kitai naršyklei kitoje sistemoje, kad išvengtų saugumo patikrų.

„Ypač rizikuoja vartotojai, kurie naudojasi įmonės ištekliais asmeniniais įrenginiais. Asmeniniai įrenginiai dažnai turi silpnesnę saugos kontrolę nei įmonės valdomi įrenginiai, o IT darbuotojai negali matyti tų įrenginių, kad nustatytų kompromisą“, – pažymi „Microsoft“. Tai didesnė rizika nuotoliniams darbuotojams, kurie naudoja asmeninius įrenginius.

Siekdama atremti žetonų vagysčių atakų prieš MFA grėsmę, „Microsoft“ rekomenduoja sutrumpinti seansų ir žetonų tarnavimo laiką, nors tai kainuoja vartotojui. Sušvelninimo priemonės apima:

• Sutrumpėjus seanso trukmei, padaugėja kartų, kai naudotojas yra priverstas iš naujo autentifikuoti 
• Sutrumpėjus žetono galiojimo laikui, grėsmės veikėjai verčiami dažniau bandyti pavogti žetonus 
• „Microsoft“ rekomenduoja įdiegti sąlyginės prieigos programų valdymą „Microsoft Defender for Cloud Apps“ vartotojams, besijungiantiems iš nevaldomų įrenginių.

„Microsoft“ taip pat rekomenduoja vartotojams įdiegti FIDO2 saugos raktus, „Windows Hello for Business“ arba sertifikatu pagrįstą autentifikavimą.

Naudotojai, turintys aukšto lygio privilegijas, pvz., visuotinio domeno administratorius, turėtų turėti atskirą tik debesies tapatybę. Tai padės sumažinti atakos paviršių nuo vietinės iki debesies, jei užpuolikas pažeidžia vietines sistemas. „Microsoft“ teigė, kad prie šių tapatybių neturėtų būti pridėta pašto dėžutė.

„Pripažįstame, kad nors organizacijoms gali būti rekomenduota priverstinai nustatyti vietą, įrenginį atitiktis ir seanso trukmės valdymas visoms programoms tai ne visada gali būti praktiška. Microsoft pažymi.