Как показали недавно скрипт-кидди и элитные хакеры - не все многофакторные аутентификации защищают от взлома.
Многофакторная аутентификация (MFA) - это основная защита, которая является одной из самых эффективных в предотвращении захвата учетных записей. Помимо того, что MFA требует от пользователей указания имени пользователя и пароля, она также гарантирует, что они должны использовать дополнительный фактор, будь то отпечаток пальца, физический ключ безопасности или одноразовый пароль, прежде чем получить доступ к учетной записи. Ничто в этой статье не должно быть истолковано как утверждение, что MFA не является чем-то иным, кроме как необходимым.
Тем не менее, некоторые формы MFA сильнее других, и недавние события показывают, что эти слабые формы не так уж и сложны для некоторых хакеров. За последние несколько месяцев скрипт-кидди (хакеры-малолетки) из банды вымогателей данных Lapsus$, и элитные хакерские группировки (например, Cozy Bear, стоящие за взломом SolarWinds) успешно преодолели защиту.
Введите запрос MFA для взлома
Самые сильные формы MFA основаны на базе системы под названием FIDO2, которая была разработана консорциумом компаний с учетом требований безопасности и простоты использования. Она дает пользователям возможность использовать сканеры отпечатков пальцев или камеры, встроенные в устройства, или специальные ключи безопасности для подтверждения того, что они авторизованы для доступа к учетной записи. Формы MFA на основе FIDO2 являются относительно новыми, поэтому многие сервисы как для потребителей, так и для крупных организаций еще не приняли их.
Именно здесь на помощь приходят старые, более слабые формы MFA. К ним относятся одноразовые пароли, отправляемые по SMS или генерируемые мобильными приложениями, такими как Google Authenticator, или push-подсказки, отправляемые на мобильное устройство. Когда кто-то входит в систему с действительным паролем, он также должен либо ввести одноразовый пароль в поле на экране регистрации, либо нажать кнопку, отображаемую на экране его телефона.
Именно эта последняя форма аутентификации, по последним данным, обходится. По данным охранной фирмы Mandiant, одной из групп, использующих эту технику, является Cozy Bear. Эта группа также действует под названиями Nobelium, APT29 и Dukes.
"Многие провайдеры MFA позволяют пользователям принять push-уведомление от приложения на телефоне или получить телефонный звонок и нажать клавишу в качестве второго фактора", - пишут исследователи Mandiant. "Угрожающий агент [Nobelium] воспользовался этим и отправил несколько MFA-запросов на законное устройство конечного пользователя, пока тот не принял аутентификацию, что позволило ему получить доступ к учетной записи".
Lapsus$, хакерская группировка, которая за последние месяцы взломала Microsoft, Okta и Nvidia, также использовала эту технику.
"Количество звонков не ограничено", - написал один из членов Lapsus$ на официальном Telegram-канале группы. Позвоните сотруднику 100 раз в час ночи, пока он пытается заснуть, и он, скорее всего, примет звонок". Как только сотрудник примет первый звонок, вы можете зайти на портал регистрации MFA и зарегистрировать другое устройство".
Участник Lapsus$ утверждает, что техника MFA prompt-bombing была эффективна против Microsoft, которая ранее заявила, что хакерская группа смогла получить доступ к ноутбуку одного из ее сотрудников.
"Даже Microsoft!" - написал человек. "Смог войти в VPN сотрудника Microsoft из Германии и США одновременно, а они, похоже, даже не заметили. Также удалось дважды перерегистрировать MFA".
Майк Гровер, продавец хакерского инструментария для специалистов по безопасности и консультант red-team под ником _MG_ в Twitter, сказал, что техника "в основе своей представляет собой один метод, который принимает множество форм: обманом заставить пользователя подтвердить запрос MFA. MFA Bombing быстро стал дескриптором, но это упускает из виду более скрытные методы".
Методы включают:
- Отправка множества MFA-запросов и надежда на то, что пользователь в конце концов примет один из них, чтобы прекратить этот бесконечный поток или по ошибке.
- Отправка одной или двух подсказок в день. Этот метод часто привлекает меньше внимания, но "вероятность того, что цель примет MFA-запрос, все равно велика".
- Позвонить объекту, притвориться сотрудником компании и сказать, что ему необходимо отправить MFA-запрос в рамках процесса компании.
"Это лишь несколько примеров, - сказал Гровер, - но важно знать, что массовые бомбардировки - НЕ единственная форма, которую это принимает".
В своем Твиттере он написал: "Хакеры играют с вариантами этого уже много лет. Компаниям, использующим знания об этом - повезло. Но в реальном мире злоумышленники продвигаются в освоении новых методов взлома быстрее, чем выстраивается защита большинства компаний."
Другие исследователи поспешили отметить, что техника запроса MFA не нова.
"Lapsus$ не изобретал "бомбардировку подсказками MFA", - написал в Твиттере Грег Линарес, специалист по безопасности. "Пожалуйста, перестаньте приписывать им... создание этого метода. Этот вектор атаки использовался в реальных атаках за 2 года до появления Lapsus".
Молодец, FIDO
Как отмечалось ранее, формы MFA на основе FIDO2 не подвержены этой технике, поскольку они привязаны к физической машине, которую кто-то использует при входе на сайт. Другими словами, аутентификация должна быть выполнена на устройстве, с которого осуществляется вход. Это не может произойти на одном устройстве, чтобы дать доступ другому устройству.
Но это не значит, что организации, использующие FIDO2-совместимый MFA, не могут быть восприимчивы к оперативным взломам. Неизбежно, что определенный процент людей, участвующих в этих формах MFA, потеряет свой ключ, уронит iPhone в унитаз или сломает сканер отпечатков пальцев на своем ноутбуке.
Организации должны иметь запасные варианты действий на случай таких неизбежных событий. Многие будут возвращаться к более уязвимым формам MFA в случае, если сотрудник потеряет ключ или устройство, необходимое для передачи дополнительного фактора. В других случаях хакер может обмануть ИТ-администратора, заставив его сбросить MFA и зарегистрировать новое устройство. В других случаях MFA, соответствующий стандарту FIDO2, является лишь одним из вариантов, но при этом допускаются и менее безопасные формы.
"Механизмы сброса/резервного копирования всегда очень привлекательны для злоумышленников", - говорит Гровер.
В других случаях компании, использующие FIDO2-совместимый MFA, прибегают к услугам третьих лиц для управления сетью или выполнения других важных функций. Если сотрудники сторонних компаний могут получить доступ к сети компании с помощью более слабых форм MFA, это в значительной степени сводит на нет преимущества более сильных форм.
Даже когда компании повсеместно используют MFA на основе FIDO2, Nobelium удалось обойти эту защиту. Однако этот обход стал возможен только после того, как хакеры полностью взломали Active Directory - сильно укрепленный инструмент базы данных, который сетевые администраторы используют для создания, удаления или изменения учетных записей пользователей и назначения им привилегий для доступа к авторизованным ресурсам.
Опять же, любая форма MFA лучше, чем отсутствие MFA. Если одноразовые пароли, доставляемые по SMS, - это все, что доступно, - какими бы ошибочными и отвратительными они ни были - система все равно бесконечно лучше, чем отсутствие MFA. Ничто в этой статье не говорит о том, что MFA бесполезна.
Но очевидно, что MFA сам по себе недостаточен, и он вряд ли представляет собой галочку, которую организации могут поставить и покончить с этим. Когда Cozy Bear нашел эти лазейки, никто особенно не удивился, учитывая безграничные ресурсы и первоклассное мастерство группы. Теперь, когда подростки используют те же методы для взлома таких мощных компаний, как Nvidia, Okta и Microsoft, люди начинают осознавать важность правильного использования MFA.
"Хотя может быть соблазнительно отмахнуться от LAPSUS$ как от незрелой и жаждущей славы группы", - написал на прошлой неделе журналист Брайан Кребс из KrebsOnSecurity, - "их тактика должна заставить всех, кто отвечает за корпоративную безопасность, сесть и хорошо подумать над безопасностью".
Оперативная бомбардировка MFA, возможно, не нова, но это не значит, что компании могут считать ее бесполезной. Просто знания хакерских лазеек, послужат хорошим основанием для выстраивания корпоративной защиты от атак.