Самые частые способы обхода двухфакторной аутентификации

Многие организации полагаются на двухфакторную аутентификацию для предотвращения использования украденых аккаунтов сотрудников. Для этого в дополнение к паролю запрашивают еще подтверждение от аппаратного токена в USB порту или из приложения в смартфоне или просто код из СМС. И сегодня это обязательное правило гигиены для удаленного доступа к ресурсам вашей компании.

Если у вас есть, вера в то, что это 100% защита, то вы просто не читаете новости. За примером далеко ходить не нужно: вы только что слышали новость от Александра Антипова про обход двухфакторной аутентификации в Microsoft Outlook. И таких новостей было много... и еще будут.

К счастью, даже если злоумышленник обошел этот тип защиты в вашей компании, то есть другие типы защиты, которые увидят взлом и остановят, например, системы поведенческого анализа.

Я считаю, что вы должны знать самые частые способы обхода двухфакторной аутентификации.

Обсудим их!

Выключение двухфакторной аутентификации

Существуют различные методики выключения MFA, причем вполне себе легитимные и встроенные в сами системы. Например, если это аппаратный токен YubiKey, то существует методика сказать системе защиты, что вы работаете сейчас с iPad. И тогда система скажет сама себе: так там же нет порта USB и человеку не может вставить токен... и не будет его запрашивать. Все - вы залогинились без второго фактора!

Явный обход MFA

Здесь хакер просит вас же аутентифицироваться за него, как это кстати и было сделано в июле 2022 года для Microsoft Outlook, когда злоумышленник использует ваши же cockies для несанкционированного доступа к вашей электронной почте. Сюда же входит перехват СМС или перехват работы приложения, которое проводит аутентификацию на вашем смартфоне.

Другой интересный факт, что в системах MFA часто по-умолчанию настроено, что человек может заходить без второго фактора, если облачный сервис для проверки второго фактора недоступен. Соответственно в успешных атаках злоумышленник просто запрещал на вашем же песональном firewall доступ к серверу аутентификации, агент думал что система аутентификации недоступна и пускал и так.

Помните историю про коменданта в книге "Золотой теленок", который у всех входящих строго требовал пропуск, но если ему пропуска не давали, то он пускал и так? Ильф и Петров что-то знали ) Вход без второго фактора вообще-то легитимный метод, который мог разрешить ваш администратор и он называется bypass. Проверьте, а как у вас настроен bypass в MFA?

Эксплуатация разрешенных исключений

Существуют аккаунты для которых выключена проверка второго фактора: для работы системных служб или сервисов, или которые не умеют подключать второй фактор, например, POP3/SMTP почта. Злоумышленники находят такие аккаунты и пользуются.

Кража сертификата подписи SAML

Эта техника использовалась в том числе во время взлома SolarWinds. Язык разметки SAML (Security Assertion Markup Language) представляет собой открытый стандарт на основе XML для обмена данными аутентификации и авторизации между сторонами процесса. И он естественно зашифрован. Но если  хакер получает доступ к приватному ключу, на котором подписывают все сертификаты, то он получает возможность видеть и менять все атрибуты доступа во время работы SAML. Ну и собственно видеть кто входит в систему и пускать самого себя в систему.

Переиспользование авторизованной сессии

Часто многофакторные системы имеют период в течение которого сессия действует. Если хакер взломал систему, которая уже имеет доступ к нужному ему ресурсу, то ему не нужно даже пытаться аутентифицироваться - доступ уже есть у взломанного компьютера, либо преступник просто ждет. когда сотрудник сам зайдет в нужную систему. Если это бухгалтер, то он так делает несколько раз в день.

Вывод

Многофакторная аутентификация может замедлить и даже остановить многие типы атак. Да, как и многие другие механизмы безопасности ее можно обойти. Организации должны поменять свой взгляд на защиту: мы сегодня не можем гарантированно остановить взломы, мы можем снизить ущерб от атак. Точек входа в информационную систему организации сегодня слишком много и мы можем только быть настойчивы в выявлении каждого нового проникновения и выдворении злоумышленника и его утилит из нашей сети. Для этого в компании Positive Technologies для вас трудится 1300 человек.